Dohdoor 后门

通过Mezo在后门, 高级持续性威胁 (APT)

翻译为：

自2025年12月以来，一个此前未被记录的威胁活动集群与一场持续针对美国教育和医疗保健行业的恶意攻击活动相关联。安全研究人员正在追踪这项活动，并将其编号为UAT-10027。该攻击活动的主要目标是部署一种名为Dohdoor的新型后门程序。

包括一所与多家附属机构联网的大学在内的多家教育机构已遭到入侵，这表明攻击面可能已经扩大。一家专门从事老年护理的医疗机构也被证实是受害者，凸显了此次攻击行动的特定行业目标。

尽管确切的初始访问途径仍未确定，但调查人员怀疑该攻击活动始于基于社会工程的网络钓鱼策略，最终触发恶意 PowerShell 脚本的执行。

感染过程分多个阶段展开：

PowerShell 脚本从远程暂存服务器检索并执行 Windows 批处理文件。
然后，批处理文件会下载一个恶意 DLL 文件，通常名为“propsys.dll”或“batmeter.dll”。
该 DLL 文件被识别为 Dohdoor，它是通过使用合法的 Windows 二进制文件（例如“Fondue.exe”、“mblctr.exe”或“ScreenClippingHost.exe”）进行 DLL 侧加载来执行的。
一旦激活，后门程序会将辅助有效载荷直接拉入内存并执行，经评估为 Cobalt Strike Beacon。

这种多层执行链表明，攻击者蓄意将恶意组件与可信系统进程混合在一起，以逃避检测。

Dohdoor 利用 DNS over HTTPS (DoH) 技术来管理命令与控制 (C2) 通信。通过加密 HTTPS 流量中的 DNS 查询，该恶意软件将其通信隐藏在看似合法的加密网络流量中。

攻击者通过将 C2 服务器路由到 Cloudflare 的网络来进一步混淆基础设施。因此，来自受感染系统的出站通信看起来像是指向受信任的全球 IP 地址的标准 HTTPS 流量。

这种方法有效地绕过了传统的防御机制，包括：

网络监控工具会标记可疑的域名查询

传统的流量分析解决方案依赖于可见的 DNS 查询。

除了网络规避技术外，Dohdoor 还会主动解除 NTDLL.dll 中的系统调用，以绕过依赖用户模式 API 监控的端点检测与响应 (EDR) 解决方案。这种能力显著降低了端点级别行为检测的可能性。

目前尚未发现任何数据泄露的确凿证据。除了部署 Cobalt Strike Beacon 作为后续有效载荷外，未观察到其他最终阶段的恶意软件。

尽管目前尚未发现勒索软件或数据窃取活动，但分析人士评估认为，此次攻击活动很可能是出于经济动机。这一结论基于受害者特征以及攻击中使用的工具，这些工具通常与以盈利为目的的入侵攻击中的后渗透框架相关。

UAT-10027背后的组织身份仍然未知。然而，研究人员发现Dohdoor与LazarLoader（一种此前被认为是朝鲜威胁组织Lazarus所为的下载器）在战术上存在相似之处。

虽然与 Lazarus 相关的恶意软件存在技术上的重叠，但此次攻击活动侧重于教育和医疗保健，这与 Lazarus 传统上针对加密货币平台和国防相关实体的攻击有所不同。

然而，朝鲜高级持续性威胁（APT）组织的历史活动显示出部分受害者特征的相似性。例如，朝鲜攻击者曾针对医疗机构部署Maui勒索软件，而Kimsuky组织则以教育机构为攻击目标。这些先例凸显了与UAT-10027攻击目标特征的主题重叠，尽管尚未确定其确切来源。

UAT-10027 采用复杂的规避技术、选择性地针对特定行业以及隐蔽基础设施等手段，使其成为一个重大且不断演变的威胁，需要在关键服务部门提高警惕。

搜索