Multi-License Discount Quote
Banta sa Database Mga backdoor Dohdoor Backdoor

Dohdoor Backdoor

Sa pamamagitan ng Mezo sa Mga backdoor, Advanced Persistent Threat (APT)
Isalin To:

Isang dating hindi dokumentadong kumpol ng aktibidad ng banta ang naiugnay sa isang patuloy na malisyosong kampanya na tumatarget sa mga sektor ng edukasyon at pangangalagang pangkalusugan sa buong Estados Unidos simula pa noong Disyembre 2025. Sinusubaybayan ng mga mananaliksik sa seguridad ang aktibidad na ito sa ilalim ng designasyong UAT-10027. Ang pangunahing layunin ng kampanya ay ang pag-deploy ng isang bagong natukoy na backdoor na kilala bilang Dohdoor.

Maraming institusyong pang-edukasyon ang nakompromiso na, kabilang ang isang unibersidad na may koneksyon sa ilang kaakibat na institusyon, na nagmumungkahi ng posibleng pinalawak na pag-atake. Isang pasilidad ng pangangalagang pangkalusugan na dalubhasa sa pangangalaga sa matatanda ang nakumpirma rin bilang biktima, na nagbibigay-diin sa pokus ng operasyon na partikular sa sektor.

Pagkakabit ng Infection at Pag-deploy ng Malware

Bagama't nananatiling hindi pa natutukoy ang eksaktong inisyal na access vector, pinaghihinalaan ng mga imbestigador na ang kampanya ay nagsisimula sa mga taktika ng phishing na nakabatay sa social engineering na sa huli ay nagti-trigger sa pagpapatupad ng isang malisyosong PowerShell script.

Ang proseso ng impeksyon ay nagaganap sa maraming yugto:

  • Kinukuha at isinasagawa ng PowerShell script ang isang Windows batch file mula sa isang remote staging server.
  • Pagkatapos, magda-download ang batch file ng isang malisyosong DLL file, na karaniwang pinangalanang 'propsys.dll' o 'batmeter.dll.'
  • Ang DLL, na kinilala bilang Dohdoor, ay isinasagawa sa pamamagitan ng DLL side-loading gamit ang mga lehitimong Windows binary tulad ng 'Fondue.exe,' 'mblctr.exe,' o 'ScreenClippingHost.exe.'
  • Kapag aktibo na, direktang kumukuha ang backdoor ng pangalawang payload papunta sa memorya at isinasagawa ito, na tinatayang isang Cobalt Strike Beacon.

Ang multi-layered execution chain na ito ay nagpapakita ng mga sinasadyang pagsisikap na pagsamahin ang mga malisyosong bahagi sa mga pinagkakatiwalaang proseso ng system upang maiwasan ang pagtuklas.

Lihim na Imprastraktura ng Pamumuno at Pagkontrol

Ginagamit ng Dohdoor ang DNS-over-HTTPS (DoH) upang pamahalaan ang mga komunikasyon sa Command-and-Control (C2). Sa pamamagitan ng pag-encrypt ng mga DNS query sa loob ng trapiko ng HTTPS, itinatago ng malware ang mga komunikasyon nito sa loob ng tila lehitimong naka-encrypt na trapiko sa web.

Lalo pang tinatakpan ng banta ang imprastraktura sa pamamagitan ng pagruruta ng mga C2 server sa pamamagitan ng network ng Cloudflare. Bilang resulta, ang mga papalabas na komunikasyon mula sa mga nakompromisong sistema ay lumilitaw bilang karaniwang trapiko ng HTTPS na nakadirekta patungo sa isang pinagkakatiwalaang pandaigdigang IP address.

Epektibong nilalampasan ng pamamaraang ito ang mga tradisyunal na mekanismo ng pagtatanggol, kabilang ang:

  • Mga sistema ng pagtuklas na nakabatay sa DNS at mga sinkhole ng DNS
  • Mga tool sa pagsubaybay sa network na nagfa-flag ng mga kahina-hinalang paghahanap ng domain
  • Mga kumbensyonal na solusyon sa pagsusuri ng trapiko na umaasa sa mga nakikitang query sa DNS

    • Bukod sa mga pamamaraan ng pag-iwas sa network, aktibong inaalis ng Dohdoor ang mga system call sa NTDLL.dll upang maiwasan ang mga solusyon sa endpoint detection and response (EDR) na umaasa sa pagsubaybay sa user-mode API. Ang kakayahang ito ay lubos na nagbabawas sa posibilidad ng behavioral detection sa antas ng endpoint.

    Mga Layunin sa Operasyon at Motibasyon sa Pananalapi

    Sa kasalukuyan, walang natukoy na kumpirmadong ebidensya ng data exfiltration. Bukod sa pag-deploy ng Cobalt Strike Beacon bilang kasunod na payload, wala pang naobserbahang karagdagang final-stage malware.

    Sa kabila ng kawalan ng ransomware o pagnanakaw ng datos sa ngayon, tinatasa ng mga analyst na ang kampanya ay malamang na may motibasyon sa pananalapi. Ang konklusyong ito ay batay sa pattern ng biktima at ang pag-deploy ng mga kagamitang karaniwang nauugnay sa mga balangkas pagkatapos ng pagsasamantala na ginagamit sa mga panghihimasok na dulot ng monetization.

    Pagsusuri ng Atribusyon at Mga Pagsasanib ng Hilagang Korea

    Hindi pa rin alam ang pagkakakilanlan ng grupo sa likod ng UAT-10027. Gayunpaman, natukoy ng mga mananaliksik ang mga taktikal na pagkakatulad sa pagitan ng Dohdoor at LazarLoader, isang downloader na dating iniuugnay sa grupong banta ng Hilagang Korea na Lazarus.

    Bagama't umiiral ang mga teknikal na pagsasanib sa malware na nauugnay kay Lazarus, ang pokus ng kampanya sa edukasyon at pangangalagang pangkalusugan ay naiiba sa tradisyonal na pag-target ni Lazarus sa mga platform ng cryptocurrency at mga entidad na may kaugnayan sa depensa.

    Gayunpaman, ang makasaysayang aktibidad mula sa mga aktor ng advanced persistent threat (APT) sa Hilagang Korea ay nagpapakita ng bahagyang pagkakahanay ng biktimolohiya. Halimbawa, ang mga operator ng Hilagang Korea ay naglagay ng Maui ransomware laban sa mga organisasyong pangkalusugan, at ang grupong Kimsuky ay tinarget ang mga institusyong pang-edukasyon. Itinatampok ng mga naunang ito ang mga tematikong pagsasanib sa profile ng pag-target ng UAT-10027, bagama't walang tiyak na pagpapatungkol ang naitatag.

    Ang kombinasyon ng mga sopistikadong pamamaraan ng pag-iwas, mapiling pag-target sa sektor, at pagtatago ng imprastraktura ay nagpoposisyon sa UAT-10027 bilang isang makabuluhan at umuusbong na banta na nangangailangan ng mas matindi na pagbabantay sa mga kritikal na sektor ng serbisyo.

    Trending

    Pinaka Nanood

    Naglo-load...