Знижка на кілька ліцензій
База даних загроз Backdoors Бекдор Dohdoor

Бекдор Dohdoor

До Mezo року в Backdoors, Розширена постійна загроза (APT) році
Перекласти на:

Раніше незадокументований кластер загроз пов'язаний із шкідливою кампанією, спрямованою проти секторів освіти та охорони здоров'я по всій території Сполучених Штатів щонайменше з грудня 2025 року. Дослідники безпеки відстежують цю активність під позначенням UAT-10027. Основною метою кампанії є розгортання нещодавно виявленого бекдору, відомого як Dohdoor.

Вже було скомпрометовано кілька навчальних закладів, зокрема університет, пов’язаний з кількома афілійованими установами, що свідчить про потенційно розширену зону атаки. Також було підтверджено, що жертвою став медичний заклад, що спеціалізується на догляді за літніми людьми, що підкреслює галузеву спрямованість операції.

Ланцюг зараження та розгортання шкідливого програмного забезпечення

Хоча точний початковий вектор доступу залишається невизначеним, слідчі підозрюють, що кампанія починається з фішингових тактик на основі соціальної інженерії, які зрештою запускають виконання шкідливого скрипта PowerShell.

Інфекційний процес проходить у кілька етапів:

  • Сценарій PowerShell отримує та виконує пакетний файл Windows з віддаленого проміжного сервера.
  • Потім пакетний файл завантажує шкідливий DLL-файл, який зазвичай називається «propsys.dll» або «batmeter.dll».
  • Бібліотека DLL, ідентифікована як Dohdoor, виконується шляхом завантаження DLL з використанням легітимних бінарних файлів Windows, таких як «Fondue.exe», «mblctr.exe» або «ScreenClippingHost.exe».
  • Після активації бекдор завантажує вторинне корисне навантаження безпосередньо в пам'ять і виконує його, оцінюючи його як маяк Cobalt Strike.

Цей багаторівневий ланцюжок виконання демонструє навмисні зусилля щодо поєднання шкідливих компонентів із надійними системними процесами, щоб уникнути виявлення.

Прихована інфраструктура командування та управління

Dohdoor використовує DNS-over-HTTPS (DoH) для керування комунікаціями типу «командування та контроль» (C2). Шифруючи DNS-запити в HTTPS-трафіку, шкідливе програмне забезпечення приховує свої комунікації всередині, здавалося б, легітимного зашифрованого веб-трафіку.

Зловмисник ще більше приховує інфраструктуру, маршрутизуючи сервери C2 через мережу Cloudflare. В результаті вихідні повідомлення зі скомпрометованих систем виглядають як стандартний HTTPS-трафік, спрямований на довірену глобальну IP-адресу.

Такий підхід ефективно обходить традиційні захисні механізми, зокрема:

  • Системи виявлення на основі DNS та DNS-провали
  • Інструменти моніторингу мережі, які позначають підозрілі пошукові запити доменів
  • Традиційні рішення для аналізу трафіку, що залежать від видимих DNS-запитів

Окрім методів обходу мережі, Dohdoor активно відчіплює системні виклики в NTDLL.dll, щоб обійти рішення для виявлення та реагування на кінцеві точки (EDR), які покладаються на моніторинг API у режимі користувача. Ця можливість значно знижує ймовірність виявлення поведінки на рівні кінцевої точки.

Операційні цілі та фінансова мотивація

Наразі не виявлено жодних підтверджених доказів витоку даних. Окрім розгортання Cobalt Strike Beacon як подальшого корисного навантаження, жодного додаткового шкідливого програмного забезпечення останньої стадії не виявлено.

Незважаючи на відсутність випадків програм-вимагачів або крадіжки даних наразі, аналітики оцінюють кампанію, ймовірно, з фінансовою метою. Цей висновок ґрунтується на віктимологічній моделі та розгортанні інструментів, які зазвичай асоціюються з пост-експлуатаційними фреймворками, що використовуються для монетизаційних вторгнень.

Аналіз атрибуції та північнокорейські перекриття

Особистість групи, що стоїть за UAT-10027, залишається невідомою. Однак дослідники виявили тактичну схожість між Dohdoor та LazarLoader, програмою для завантаження, яку раніше приписували північнокорейській групі кіберзлочинців Lazarus.

Хоча технічні перекриття зі шкідливим програмним забезпеченням, пов'язаним із Lazarus, існують, зосередження кампанії на освіті та охороні здоров'я відрізняється від традиційного націлювання Lazarus на криптовалютні платформи та організації, пов'язані з обороною.

Тим не менш, історична діяльність північнокорейських акторів, що займаються розширеними постійними загрозами (APT), свідчить про часткову віктимологічну відповідність. Наприклад, північнокорейські оператори використовували програму-вимагач Maui проти медичних закладів, а група Kimsuky атакувала освітні установи. Ці прецеденти підкреслюють тематичні збіги з профілем цільової аудиторії UAT-10027, хоча остаточної атрибуції не встановлено.

Поєднання складних методів ухилення, вибіркового таргетування секторів та приховування інфраструктури ставить UAT-10027 у значну та постійно зростаючу загрозу, що вимагає підвищеної пильності в критично важливих секторах послуг.

В тренді

FedEx Express – Ваші відправлення були отримані...

Фішинг, Шкідливе програмне забезпечення, Спам
Пильність під час роботи з неочікуваними електронними листами є надзвичайно важливою в сучасному світі загроз. Кіберзлочинці регулярно видають себе за відомі бренди, щоб зловживати довірою та цікавістю. Так звані електронні листи «FedEx Express — Ваші відправлення отримано» є яскравим прикладом цієї тактики. Хоча вони здаються надсилачем легітимної кур’єрської служби, ці повідомлення не...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
23,491
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...