Cisco Talos の研究者たちが、Dohdoor という以前は文書化されていないバックドアを配信する進行中のサイバーキャンペーンを発見しました。
UAT-10027 として追跡されている脅威アクター によるこの活動は、少なくとも 2025 年 12 月から活動しており、主に米国全域の教育および医療機関を標的にしています。
Talos によると、攻撃者は慎重に設計された多段階の感染チェーンに依存しています。初期アクセスは、悪意のある PowerShell スクリプトを配信する フィッシングメールを通じて実現される可能性が高いです。
実行されると、スクリプトはエンコードされた URL で curl.exe を使用して、リモートステージングサーバーから Windows バッチファイル(.bat または .cmd)をダウンロードします。
バッチスクリプトは、「propsys.dll」や「batmeter.dll」などの正当な Windows ファイルに偽装した悪意のある DLL をダウンロードします。DLL は C:\ProgramData や C:\Users\Public などの隠されたディレクトリに配置されます。
マルウェアを実行するために、攻撃者は Fondue.exe、mblctr.exe、ScreenClippingHost.exe を含む 正当な Windows 実行可能ファイルを DLL サイドローディング技術を使用して悪用します。
実行後、スクリプトは RunMRU レジストリエントリを削除し、クリップボードデータをクリアし、フォレンジック証拠を制限するために自身を削除します。
Dohdoor がアクティブになると、DNS-over-HTTPS(DoH)を使用してコマンドアンドコントロール(C2)通信を確立します。
従来の DNS クエリを送信する代わりに、リクエストを暗号化して Cloudflare の DNS サービスに HTTPS 経由で送信します。
これにより、アウトバウンドトラフィックは正当な暗号化ウェブトラフィックのように見え、悪意のあるアクティビティが信頼されたインフラストラクチャの背後に隠されます。
マルウェアは「User-Agent: insomnia/11.3.0」などのヘッダーを含む HTTP リクエストを構築します。
Cloudflare の JSON DNS レスポンスを手動で解析して C2 IP アドレスを抽出します。その後、Cloudflare エッジネットワークを通じて HTTPS トンネルを確立し、実際の C2 サーバーを効果的に隠します。
Dohdoor は暗号化されたペイロードをダウンロードし、位置依存の暗号とトラフィック 0x26 の定数値を持つカスタム XOR-SUB アルゴリズムを使用して復号化します。
SIMD ベースの一括復号化と 残りのバイトのためのフォールバックルーチンの両方をサポートします。復号化後、ペイロードは OpenWith.exe や ImagingDevices.exe などの正当な Windows プロセスにプロセスホローイングを介して注入され、ステルス実行を可能にします。
Talos は、Dohdoor がエンドポイント検出と応答(EDR)システムのバイパスを試みることも観察しました。
ハッシュ検索を通じて Windows API を動的に解決し、ntdll.dll を検査してユーザーモードフックを検出します。フックが識別された場合、syscall スタブに直接パッチを適用し、監視ツールを回避する実行を可能にします。
Talos は、Dohdoor のタクティクスと以前に Lazarus Group に関連付けられた tradecraft の間に低信頼度の重複が存在することに注目しています。これには DoH 悪用、プロセスホローイング、およびカスタム復号化ルーチンが含まれます。
帰属は依然として不確かですが、このキャンペーンは重要な公共部門に対する攻撃の洗練度が増していることを浮き彫りにしています。
教育および医療ネットワークは、多くの場合、サイバーセキュリティリソースが限定されており、ステルス多段階マルウェアチェーンを活用する高度な脅威アクターにとって魅力的なターゲットのままです。
翻訳元: https://cyberpress.org/dohdoor-hits-schools-healthcare/