Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Arka kapılar Dohdoor Arka Kapısı

Dohdoor Arka Kapısı

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Daha önce belgelenmemiş bir tehdit faaliyeti kümesi, en az Aralık 2025'ten beri Amerika Birleşik Devletleri genelinde eğitim ve sağlık sektörlerini hedef alan devam eden kötü amaçlı bir kampanyayla ilişkilendirildi. Güvenlik araştırmacıları bu faaliyeti UAT-10027 kodu altında takip ediyor. Kampanyanın birincil amacı, Dohdoor olarak bilinen yeni tanımlanmış bir arka kapı yazılımını devreye sokmaktır.

Birden fazla eğitim kurumu, aralarında çeşitli bağlı kuruluşlarla bağlantısı olan bir üniversitenin de bulunduğu, halihazırda saldırıya uğramış durumda; bu da potansiyel olarak genişlemiş bir saldırı yüzeyini gösteriyor. Yaşlı bakımında uzmanlaşmış bir sağlık tesisinin de mağdur olduğu doğrulandı ve bu da operasyonun sektöre özgü odak noktasını vurguluyor.

Bulaşma Zinciri ve Kötü Amaçlı Yazılım Yayılımı

Kesin ilk erişim yöntemi henüz belirlenmemiş olsa da, araştırmacılar kampanyanın sosyal mühendislik tabanlı kimlik avı taktikleriyle başladığından ve nihayetinde kötü amaçlı bir PowerShell komut dosyasının çalıştırılmasını tetiklediğinden şüpheleniyor.

Enfeksiyon süreci birden fazla aşamada gerçekleşir:

  • Bu PowerShell betiği, uzak bir hazırlık sunucusundan bir Windows toplu işlem dosyasını alır ve çalıştırır.
  • Bu toplu işlem dosyası daha sonra genellikle 'propsys.dll' veya 'batmeter.dll' olarak adlandırılan kötü amaçlı bir DLL dosyasını indirir.
  • Dohdoor olarak tanımlanan DLL, 'Fondue.exe', 'mblctr.exe' veya 'ScreenClippingHost.exe' gibi yasal Windows ikili dosyaları kullanılarak DLL yan yüklemesi yoluyla çalıştırılır.
  • Aktif hale geldiğinde, arka kapı ikincil bir yükü doğrudan belleğe çeker ve çalıştırır; bu yükün bir Cobalt Saldırı İşareti olduğu değerlendirilir.

Bu çok katmanlı yürütme zinciri, tespit edilmekten kaçınmak için kötü amaçlı bileşenleri güvenilir sistem süreçleriyle kasıtlı olarak harmanlama çabalarını göstermektedir.

Gizli Komuta ve Kontrol Altyapısı

Dohdoor, Komuta ve Kontrol (C2) iletişimlerini yönetmek için DNS-over-HTTPS (DoH) teknolojisini kullanır. HTTPS trafiği içindeki DNS sorgularını şifreleyerek, kötü amaçlı yazılım iletişimlerini görünüşte meşru şifrelenmiş web trafiği içinde gizler.

Saldırgan, C2 sunucularını Cloudflare'ın ağı üzerinden yönlendirerek altyapıyı daha da gizliyor. Sonuç olarak, ele geçirilen sistemlerden yapılan giden iletişimler, güvenilir bir küresel IP adresine yönlendirilmiş standart HTTPS trafiği olarak görünüyor.

Bu yaklaşım, aşağıdakiler de dahil olmak üzere geleneksel savunma mekanizmalarını etkili bir şekilde devre dışı bırakmaktadır:

  • DNS tabanlı tespit sistemleri ve DNS çukurları
  • Şüpheli alan adı sorgularını işaretleyen ağ izleme araçları
  • Geleneksel trafik analiz çözümleri, görünür DNS sorgularına dayanmaktadır.

Ağdan kaçınma tekniklerine ek olarak, Dohdoor, kullanıcı modu API izlemesine dayanan uç nokta algılama ve yanıt (EDR) çözümlerini atlatmak için NTDLL.dll'deki sistem çağrılarını aktif olarak devre dışı bırakır. Bu yetenek, uç nokta düzeyinde davranışsal algılama olasılığını önemli ölçüde azaltır.

Operasyonel Hedefler ve Finansal Motivasyon

Şu an itibariyle, veri sızdırılmasına dair doğrulanmış bir kanıt tespit edilmemiştir. Cobalt Strike Beacon'ın ek bir zararlı yazılım olarak konuşlandırılması dışında, son aşamada başka bir zararlı yazılım gözlemlenmemiştir.

Şu ana kadar fidye yazılımı veya veri hırsızlığı faaliyeti olmamasına rağmen, analistler kampanyanın büyük olasılıkla finansal motivasyonlu olduğunu değerlendiriyor. Bu sonuç, mağduriyet modeline ve para kazanma odaklı saldırılarda kullanılan, genellikle saldırı sonrası çerçevelerle ilişkilendirilen araçların kullanımına dayanmaktadır.

Atıf Analizi ve Kuzey Kore Örtüşmeleri

UAT-10027'nin arkasındaki grubun kimliği bilinmiyor. Bununla birlikte, araştırmacılar Dohdoor ile daha önce Kuzey Koreli tehdit grubu Lazarus'a atfedilen bir indirme programı olan LazarLoader arasında taktiksel benzerlikler tespit ettiler.

Teknik olarak Lazarus bağlantılı kötü amaçlı yazılımlarla örtüşmeler olsa da, kampanyanın eğitim ve sağlık hizmetlerine odaklanması, Lazarus'un geleneksel olarak kripto para platformlarını ve savunma ile ilgili kuruluşları hedef almasından farklılık göstermektedir.

Bununla birlikte, Kuzey Koreli gelişmiş kalıcı tehdit (APT) aktörlerinin tarihsel faaliyetleri, kısmi bir mağduriyet profili uyumunu ortaya koymaktadır. Örneğin, Kuzey Koreli operatörler sağlık kuruluşlarına karşı Maui fidye yazılımını kullanmış ve Kimsuky grubu eğitim kurumlarını hedef almıştır. Bu örnekler, UAT-10027'nin hedefleme profiliyle tematik örtüşmeleri vurgulamaktadır, ancak kesin bir atıf henüz belirlenmemiştir.

Gelişmiş kaçınma teknikleri, seçici sektör hedeflemesi ve altyapı gizleme yöntemlerinin birleşimi, UAT-10027'yi kritik hizmet sektörlerinde artırılmış teyakkuz gerektiren önemli ve gelişen bir tehdit haline getirmektedir.

trend

FedEx Express - Gönderileriniz Alındı E-posta...

Kimlik avı, Kötü amaçlı yazılım, İstenmeyen e-posta
Günümüzün tehdit ortamında beklenmedik e-postalarla başa çıkarken tetikte olmak çok önemlidir. Siber suçlular, güven ve merakı istismar etmek için rutin olarak tanınmış markaları taklit ederler. "FedEx Express - Gönderileriniz Alındı" başlıklı e-postalar bu taktiğin en önemli örneklerinden biridir. Meşru bir kurye hizmetinden geliyormuş gibi görünseler de, bu mesajlar herhangi bir gerçek...

En çok görüntülenen

Yükleniyor...