Dohdoor 後門

後門, 進階持續性威脅 (APT) 年Mezo年

翻譯為：

自2025年12月以來，一個先前未被記錄的威脅活動集群與一場持續針對美國教育和醫療保健產業的惡意攻擊活動相關聯。安全研究人員正在追蹤這項活動，並將其編號為UAT-10027。該攻擊活動的主要目標是部署一種名為Dohdoor的新型後門程式。

包括一所與多家附屬機構聯網的大學在內的多家教育機構已遭到入侵，這表明攻擊面可能已經擴大。專門從事老年護理的醫療機構也被證實是受害者，凸顯了攻擊行動的特定行業目標。

儘管確切的初始訪問途徑仍未確定，但調查人員懷疑該攻擊活動始於基於社會工程的網路釣魚策略，最終觸發惡意 PowerShell 腳本的執行。

感染過程分多個階段展開：

PowerShell 腳本從遠端暫存伺服器擷取並執行 Windows 批次檔。
然後，批次檔會下載一個惡意 DLL 文件，通常名為「propsys.dll」或「batmeter.dll」。
該 DLL 檔案被識別為 Dohdoor，它是透過使用合法的 Windows 二進位檔案（例如「Fondue.exe」、「mblctr.exe」或「ScreenClippingHost.exe」）進行 DLL 側載入來執行的。
一旦激活，後門程式會將輔助有效載荷直接拉入記憶體並執行，經評估為 Cobalt Strike Beacon。

這種多層執行鏈表明，攻擊者蓄意將惡意元件與可信任系統進程混合在一起，以逃避偵測。

Dohdoor 利用 DNS over HTTPS (DoH) 技術來管理命令與控制 (C2) 通訊。透過加密 HTTPS 流量中的 DNS 查詢，該惡意軟體將其通訊隱藏在看似合法的加密網路流量中。

攻擊者透過將 C2 伺服器路由到 Cloudflare 的網路來進一步混淆基礎設施。因此，來自受感染系統的出站通訊看起來像是指向受信任的全球 IP 位址的標準 HTTPS 流量。

這種方法有效地繞過了傳統的防禦機制，包括：

網路監控工具會標記可疑的網域查詢

傳統的流量分析解決方案依賴可見的 DNS 查詢。

除了網路規避技術外，Dohdoor 還會主動解除 NTDLL.dll 中的系統調用，以繞過依賴用戶模式API 監控的端點檢測與回應 (EDR) 解決方案。這種能力顯著降低了端點層級行為偵測的可能性。

目前尚未發現任何資料外洩的確鑿證據。除了部署 Cobalt Strike Beacon 作為後續有效載荷外，未觀察到其他最終階段的惡意軟體。

儘管目前尚未發現勒索軟體或資料竊取活動，但分析師評估認為，這次攻擊活動很可能是出於經濟動機。這一結論是基於受害者特徵以及攻擊中使用的工具，這些工具通常與以盈利為目的的入侵攻擊中的後滲透框架相關。

UAT-10027背後的組織身分仍然未知。然而，研究人員發現Dohdoor與LazarLoader（先前被認為是北韓威脅組織Lazarus所為的下載器）在戰術上有相似之處。

雖然與 Lazarus 相關的惡意軟體存在技術上的重疊，但此次攻擊活動側重於教育和醫療保健，這與 Lazarus 傳統上針對加密貨幣平台和國防相關實體的攻擊有所不同。

然而，北韓高級持續性威脅（APT）組織的歷史活動顯示出部分受害者特徵的相似性。例如，北韓攻擊者曾針對醫療機構部署Maui勒索軟體，而Kimsuky組織則以教育機構為攻擊目標。這些先例凸顯了與UAT-10027攻擊目標特徵的主題重疊，儘管尚未確定其確切來源。

UAT-10027 採用複雜的規避技術、選擇性地針對特定產業以及隱藏基礎設施等手段，使其成為一個重大且不斷演變的威脅，需要在關鍵服務部門提高警覺。

搜索