Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Cửa sau Dohdoor Backdoor

Dohdoor Backdoor

Đến năm Mezo năm Cửa sau, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một cụm hoạt động đe dọa chưa từng được ghi nhận trước đây đã được liên kết với một chiến dịch độc hại đang diễn ra nhắm vào lĩnh vực giáo dục và chăm sóc sức khỏe trên khắp Hoa Kỳ kể từ ít nhất tháng 12 năm 2025. Các nhà nghiên cứu bảo mật đang theo dõi hoạt động này với mã định danh UAT-10027. Mục tiêu chính của chiến dịch là triển khai một phần mềm độc hại mới được xác định có tên là Dohdoor.

Nhiều cơ sở giáo dục đã bị xâm nhập, bao gồm cả một trường đại học có kết nối với nhiều cơ sở liên kết, cho thấy phạm vi tấn công tiềm tàng có thể mở rộng. Một cơ sở chăm sóc sức khỏe chuyên về chăm sóc người cao tuổi cũng đã được xác nhận là nạn nhân, nhấn mạnh mục tiêu cụ thể vào lĩnh vực này của cuộc tấn công.

Chuỗi lây nhiễm và triển khai phần mềm độc hại

Mặc dù phương thức truy cập ban đầu chính xác vẫn chưa được xác định, các nhà điều tra nghi ngờ chiến dịch này bắt đầu bằng các chiến thuật lừa đảo dựa trên kỹ thuật xã hội, cuối cùng kích hoạt việc thực thi một kịch bản PowerShell độc hại.

Quá trình lây nhiễm diễn ra qua nhiều giai đoạn:

  • Tập lệnh PowerShell này truy xuất và thực thi một tập tin batch của Windows từ máy chủ thử nghiệm từ xa.
  • Sau đó, tập tin hàng loạt sẽ tải xuống một tập tin DLL độc hại, thường có tên là 'propsys.dll' hoặc 'batmeter.dll'.
  • Tệp DLL, được xác định là Dohdoor, được thực thi thông qua phương pháp tải DLL từ bên ngoài bằng cách sử dụng các tệp nhị phân hợp pháp của Windows như 'Fondue.exe', 'mblctr.exe' hoặc 'ScreenClippingHost.exe'.
  • Sau khi được kích hoạt, phần mềm độc hại này sẽ tải một payload phụ trực tiếp vào bộ nhớ và thực thi nó, được nhận định là Cobalt Strike Beacon.

Chuỗi thực thi nhiều lớp này thể hiện những nỗ lực có chủ đích nhằm kết hợp các thành phần độc hại với các quy trình hệ thống đáng tin cậy để tránh bị phát hiện.

Cơ sở hạ tầng chỉ huy và kiểm soát bí mật

Dohdoor sử dụng DNS-over-HTTPS (DoH) để quản lý các liên lạc điều khiển và kiểm soát (C2). Bằng cách mã hóa các truy vấn DNS trong lưu lượng HTTPS, phần mềm độc hại này che giấu các liên lạc của nó trong lưu lượng web được mã hóa có vẻ hợp pháp.

Kẻ tấn công còn che giấu cơ sở hạ tầng bằng cách định tuyến các máy chủ C2 thông qua mạng của Cloudflare. Kết quả là, các liên lạc đi ra từ các hệ thống bị xâm nhập xuất hiện dưới dạng lưu lượng HTTPS tiêu chuẩn hướng đến một địa chỉ IP toàn cầu đáng tin cậy.

Phương pháp này giúp vượt qua hiệu quả các cơ chế phòng thủ truyền thống, bao gồm:

  • Hệ thống phát hiện dựa trên DNS và các lỗ hổng DNS
  • Các công cụ giám sát mạng phát hiện các truy vấn tên miền đáng ngờ.
  • Các giải pháp phân tích lưu lượng truy cập thông thường dựa vào các truy vấn DNS có thể nhìn thấy.

    • Ngoài các kỹ thuật né tránh mạng, Dohdoor chủ động ngắt các lệnh gọi hệ thống trong NTDLL.dll để vượt qua các giải pháp phát hiện và phản hồi điểm cuối (EDR) dựa trên việc giám sát API ở chế độ người dùng. Khả năng này làm giảm đáng kể khả năng bị phát hiện hành vi ở cấp độ điểm cuối.

    Mục tiêu hoạt động và động lực tài chính

    Hiện tại, chưa có bằng chứng xác nhận nào về việc đánh cắp dữ liệu được tìm thấy. Ngoài việc triển khai Cobalt Strike Beacon như một phần mềm độc hại tiếp theo, không có thêm phần mềm độc hại giai đoạn cuối nào khác được phát hiện.

    Mặc dù cho đến nay chưa có hoạt động tấn công bằng mã độc tống tiền hay đánh cắp dữ liệu nào, các nhà phân tích đánh giá rằng chiến dịch này có khả năng xuất phát từ động cơ tài chính. Kết luận này dựa trên mô hình nạn nhân và việc triển khai các công cụ thường được liên kết với các khung xử lý hậu khai thác được sử dụng trong các vụ xâm nhập nhằm mục đích kiếm tiền.

    Phân tích quy kết và sự trùng lặp với Triều Tiên

    Danh tính của nhóm đứng sau UAT-10027 vẫn chưa được biết. Tuy nhiên, các nhà nghiên cứu đã xác định được những điểm tương đồng về chiến thuật giữa Dohdoor và LazarLoader, một phần mềm tải xuống trước đây được cho là thuộc về nhóm khủng bố Lazarus của Triều Tiên.

    Mặc dù có những điểm trùng lặp về mặt kỹ thuật với phần mềm độc hại liên kết với Lazarus, nhưng chiến dịch này tập trung vào giáo dục và chăm sóc sức khỏe, khác với mục tiêu truyền thống của Lazarus là nhắm vào các nền tảng tiền điện tử và các thực thể liên quan đến quốc phòng.

    Tuy nhiên, hoạt động trong quá khứ của các nhóm tin tặc tấn công dai dẳng tiên tiến (APT) từ Triều Tiên cho thấy sự trùng khớp một phần về đối tượng nạn nhân. Ví dụ, các nhóm tin tặc Triều Tiên đã triển khai phần mềm tống tiền Maui nhắm vào các tổ chức chăm sóc sức khỏe, và nhóm Kimsuky đã nhắm mục tiêu vào các cơ sở giáo dục. Những tiền lệ này làm nổi bật sự trùng lặp về chủ đề với hồ sơ mục tiêu của UAT-10027, mặc dù chưa có bằng chứng xác định chắc chắn nhóm này là thủ phạm.

    Sự kết hợp giữa các kỹ thuật né tránh tinh vi, nhắm mục tiêu vào các khu vực cụ thể và che giấu cơ sở hạ tầng khiến UAT-10027 trở thành một mối đe dọa đáng kể và đang phát triển, đòi hỏi sự cảnh giác cao độ trên khắp các lĩnh vực dịch vụ trọng yếu.

    xu hướng

    FedEx Express - Email lừa đảo xác nhận đã nhận được...

    Lừa đảo, Phần mềm độc hại, Thư rác
    Trong bối cảnh các mối đe dọa hiện nay, việc luôn cảnh giác khi xử lý các email bất ngờ là vô cùng quan trọng. Tội phạm mạng thường xuyên giả mạo các thương hiệu nổi tiếng để lợi dụng lòng tin và sự tò mò của người dùng. Các email giả mạo "FedEx Express - Hàng của bạn đã được nhận" là một ví dụ điển hình cho chiến thuật này. Mặc dù chúng có vẻ như đến từ một dịch vụ chuyển phát nhanh hợp pháp,...

    Xem nhiều nhất

    Phần mềm độc hại

    Lừa đảo, Thư rác
    23,491
    Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
    Đang tải...