1. 首頁 > 生活百科 > >

UAT-10027組織利用Dohdoor后門攻擊美國教育醫療機構

軟件網絡安全思科Windows醫療保健

UAT-10027組織利用Dohdoor后門攻擊美國教育醫療機構

一個此前未被記錄的威脅活動組織自2025年12月以來一直在針對美國教育和醫療保健部門進行惡意攻擊活動 。

思科Talos將這一攻擊活動命名為UAT-10027 。 攻擊的最終目標是部署一個前所未見的后門程序Dohdoor 。
\"Dohdoor利用DNS-over-HTTPS(DoH)技術進行命令控制通信 , 并具備下載和反射執行其他載荷二進制文件的能力 , \"安全研究員Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技術報告中表示 。
盡管該攻擊活動的初始訪問途徑目前尚不清楚 , 但疑似涉及使用社會工程釣魚技術 , 導致PowerShell腳本的執行 。
該腳本隨后從遠程暫存服務器下載并運行Windows批處理腳本 , 進而促進下載名為\"propsys.dll\"或\"batmeter.dll\"的惡意Windows動態鏈接庫(DLL) 。
DLL載荷(即Dohdoor)通過合法的Windows可執行文件(如\"Fondue.exe\"、\"mblctr.exe\"和\"ScreenClippingHost.exe\")使用DLL側加載技術啟動 。 植入程序創建的后門訪問被用于直接將下一階段載荷檢索到受害者內存中并執行 。 該載荷被評估為Cobalt Strike Beacon 。
\"威脅行為者將命令控制服務器隱藏在Cloudflare基礎設施后面 , 確保從受害者機器發出的所有出站通信看起來都是發往可信全球IP地址的合法HTTPS流量 , \"Talos表示 。
\"這種技術繞過了基于DNS的檢測系統、DNS沉洞和網絡流量分析工具對可疑域名查詢的監控 , 確保惡意軟件的命令控制通信能夠繞過傳統網絡安全基礎設施的檢測 。 \"
研究還發現 , Dohdoor通過解除系統調用掛鉤來繞過端點檢測和響應(EDR)解決方案 , 這些解決方案通過NTDLL.dll中的用戶模式掛鉤監控Windows API調用 。
Raghuprasad告訴The Hacker News , \"攻擊者感染了幾個教育機構 , 包括一所與其他幾個機構相連的大學 , 這表明潛在的攻擊面更廣 。 此外 , 受影響的實體之一是一家醫療機構 , 專門從事老年護理 。 \"
對該攻擊活動的分析顯示 , 迄今為止沒有數據泄露的證據 。 盡管除了似乎是用于后門進入受害者環境的Cobalt Strike Beacon之外 , 沒有觀察到其他最終載荷 , 但研究人員補充說 , 基于受害者模式 , UAT-10027的行為可能是由經濟利益驅動的 。
【UAT-10027組織利用Dohdoor后門攻擊美國教育醫療機構】目前尚不清楚UAT-10027的幕后操控者是誰 , 但思科Talos表示 , 他們發現Dohdoor與LazarLoader之間存在一些戰術相似性 , 后者是此前被識別為朝鮮黑客組織Lazarus用于攻擊韓國的下載器 。
\"雖然UAT-10027的惡意軟件與Lazarus組織在技術上存在重疊 , 但該攻擊活動對教育和醫療保健部門的關注偏離了Lazarus典型的加密貨幣和國防目標特征 , \"Talos總結道 。
\"然而 , 朝鮮APT行為者曾使用Maui勒索軟件攻擊醫療保健部門 , 另一個朝鮮APT組織Kimsuky也曾攻擊教育部門 , 這突出了UAT-10027與其他朝鮮APT在受害者選擇上的重疊 。 \"
Q&A
Q1:UAT-10027是什么組織?主要攻擊哪些目標?
A:UAT-10027是思科Talos追蹤的一個此前未被記錄的威脅活動組織 , 自2025年12月以來一直針對美國的教育和醫療保健部門進行惡意攻擊活動 。
Q2:Dohdoor后門程序有什么特殊能力?
A:Dohdoor是一個全新的后門程序 , 利用DNS-over-HTTPS(DoH)技術進行命令控制通信 , 具備下載和反射執行其他載荷二進制文件的能力 , 并能通過解除系統調用掛鉤繞過端點檢測和響應解決方案 。
Q3:這次攻擊活動的最終目的是什么?
A:目前分析顯示沒有數據泄露證據 , 除了部署Cobalt Strike Beacon創建后門訪問外 , 沒有觀察到其他最終載荷 。 研究人員認為基于受害者模式 , UAT-10027的行為可能是由經濟利益驅動的 。

    推薦閱讀