2025年の終盤以来、Cisco Talosはアメリカ国内の教育機関とヘルスケア機関を対象とした悪意あるキャンペーンを警戒して追跡してきました。研究者たちはこの組織的な活動を脅威アクターUAT-10027に帰属させており、「Dohdoor」と名付けられた新しいバックドアを明確に定義しています。その定義的特性は、コマンド&コントロール(C2)にDNS over HTTPS(DoH)を使用することです。従来のDNSチャネルを通じるのではなく、これらのクエリはポート443を介したHTTPSトラフィック内にカプセル化されています。したがって、ネットワーク監視ツールにとって、この活動は遍在し暗号化されたウェブトラフィックとしてシームレスに偽装されます。追加の難読化レイヤーは、この通信の一部をCloudflareの広大なインフラストラクチャを通じてルーティングすることによって達成されます。
Talosは、初期の侵害ベクトルが主にフィッシングキャンペーンと社会工学的戦術の組み合わせを含んでいると仮説を立てています。マシンへの侵入に成功すると、PowerShellスクリプトが実行されます。このスクリプトはcurl.exeをエンコードされたURLとともに呼び出して、リモートステージングサーバーからWindowsバッチファイル(.batまたは.cmd拡張子を持つ)をダウンロードします。このエンコードされたリンクは迅速なログ分析を混乱させ、文字列マッチングを通じて疑わしいURLを捕捉するために設計された初歩的なセキュリティフィルターを効果的に回避します。
このバッチファイルはその後、ステージングディレクトリを準備し、ライブラリ置換を介して悪意あるDLLの実行を調整します。スクリプトはC:\ProgramDataまたはC:\Users\Public内に隠されたフォルダを生成し、/111111?sub=dに類似したパスを介してC2インフラストラクチャからDLLをダウンロードし、propsys.dllまたはbatmeter.dllなどの無害なシステムファイルを模倣することを意図した命名法でそれをアーカイブします。この後、正当なWindowsの実行可能ファイル(TalosはFondue.exe、mblctr.exe、ScreenClippingHost.exeを例として挙げています)がこの同じディレクトリにコピーされます。これらの無害なプログラムはステージングフォルダから起動され、C2リソース/111111?sub=sを指すパラメータが付随します。初期化時に、正当な実行可能ファイルはDLLサイドロードと呼ばれる手法を通じて埋め込まれたDLLを不注意にロードし、それによってDohdoorへの実行制御を引き渡します。
Dohdoorが動作するようになると、バッチファイルはその開始の明白な痕跡をすべて根絶しようと綿密に試みます。スクリプトは「ファイル名を指定して実行」ダイアログからコマンド履歴をパージし、RunMRUレジストリキーを削除し、その後クリップボードをクリアし、最終的に独自の実行可能ファイルを削除します。この厳密なデジタル衛生処理は、調査者にディスク上および使用者のアクティビティログ内の明白なアーティファクトの欠如をもたらします。
Talosは、Dohdoorを2025年11月25日にコンパイルされた64ビットDLLとして特徴付けています。その建築内に埋め込まれた研究者たちはデバッグパスC:\Users\diablo\Desktop\SimpleDll\TlsClient.hppを発見しました。このモジュールは静的なインポートを意図的に回避し、代わりにハッシング経由でWindows関数アドレスを動的に解決することを選択します。その結果、そのインポートテーブルは異常に空白に見えます。その後、Dohdoorはコマンドラインパラメータを解析し、C2サーバーのHTTPSアドレスとダウンロード予定の特定のペイロードを指示するリソースパスを抽出します。
Dohdoorを管理するために必要なドメインはDoHを使用して解決され、特にCloudflareのインフラストラクチャを活用しています。標準的なDNSクエリを開始するのではなく、マルウェアはCloudflareのDNSサービスへのHTTP GETリクエストをポート443を介して作成し、AレコードとAAAAレコード(それぞれIPv4とIPv6のアドレス)の両方を要求します。ヘッダー内で、TalosはUser-Agent: insomnia/11.3.0とAccept: applications/dns-jsonを観察しました。レスポンスはJSON形式で配信されます。ただし、Dohdoorは包括的なJSONパーサーを使用せずにIPアドレスを抽出し、代わりに初歩的な文字列検索に依存しています。最初にAnswerブロックを特定し、その後dataフィールドを特定します。この方法は、標準的なDNSトラフィックを監視するために特別に調整されたセキュリティアプライアンスを回避するのに有効です。なぜなら、それらはこのHTPS通信を無害で暗号化された接続として認識するからです。
IPアドレスを取得した後、DohdoorはそのコマンドインフラストラクチャへのHTTPS接続を確立し、Cloudflareのエッジネットワークの背後に安全に隔離されます。外部の観察者にとって、このトラフィックは信頼できるグローバルアドレスに向けられた標準的なHTTPS通信と区別不可能です。リクエストは頻繁にcurl/7.88またはcurl/7.83.1などのUser-Agentを使用し、/X111111?sub=sのようなリソースをターゲットにします。クライアントは多機能であり、Content-Lengthとchunked encodingの両方を処理できます。したがって、サーバーは通信チャネルを破裂させることなく動的にデータ配信メカニズムを変更できます。
採用されているドメインは、自動化されたフィルターと人間の観察者の両方に無害に見えるように作られています。TalosはMswInSofTUpDloAdとDEEPinSPeCTioNsyStEMなどのサブドメインを強調しており、これらはWindows更新プロトコルまたはセキュリティテレメトリのように見えます。さらに、マルウェアは非正統的な大文字化と非慣例的なトップレベルドメイン(.OnLiNe、.DeSigN、.SoFTWAReを含む)を利用します。これらの特定の構成は初歩的な文字列マッチングルールを混乱させ、脅威アクターが包括的なテンプレートを放棄することなくドメインをローテーションできるようにします。
その後のペイロードは暗号化された状態で配信されます。Dohdoorは専有的なXOR-SUBスキーマを使用してこのデータを復号化し、位置依存の変換と32バイトの暗号化キーを組み込みます。Talosは4:1の比率を強調しています。暗号テキストは復号化されたバッファのサイズの約4倍です。主な復号化フェーズは16バイトブロックでデータを処理し、加速のためにSIMD命令を活用します。残りのバイトについて、数式decrypted[i] = encrypted[i*4] - i - 0x26が適用されます。本質的には、4番目のバイトごとに分離し、位置インデックスと定数0x26の両方を減算します。
復号化に続いて、次のフェーズはプロセスホローイングを介して起動されます。Dohdoorは正当なプロセスを一時停止状態で生成し、システマティックにそのメモリ内容を新しく復号化された悪意あるコードに置き換え、その後プロセスの実行を再開します。Talosはこれらのターゲットファイルへのハードコードされたパスを列挙しています:C:\Windows\System32\OpenWith.exe、C:\Windows\System32\wksprt.exe、C:\Program Files\Windows Photo Viewer\ImagingDevices.exe、C:\Program Files\Windows Mail\wab.exe。この実行戦略は、認可されたシステムプロセスの外観の下に悪意あるコードの操作をうまく隠蔽します。
エンドポイント検出応答(EDR)ソリューションを回避するために、Dohdoorntdll.dll内のシステムコールに対してアンフッキング手法を採用しています。Talosはこのプロセスを明確にしています。多くのEDRプラットフォームはntdll内にユーザーモードフックを埋め込み、関数の開始をパッチして実行フローをそれ自体の監視コードにリダイレクトします。Dohdoorはntdll.dllをハッシュ0x28ccを介して特定し、ハッシュ0xbc46c894を使用してNtProtectVirtualMemoryをターゲットにします。ReadProcessMemoryを介して最初の32バイトを読み取り、予想されるシステムコールスタブテンプレート4C 8B D1 B8 FF 00 00 00(mov r10, rcx; mov eax, 0FFhに対応)と対置します。一致が確認された場合、パッチB8 BB 00 00 00 C3(mov eax, 0BBh; retと同等)を注入します。完結は、ユーザーモード傍受を効果的にバイパスする切り詰められたスタブです。
Talosがdohdoorによってダウンロードおよび注入された最終的なペイロードを傍受することができなかったが、インフラストラクチャ自体から状況的証拠が出現しました。C2ホストの1つに関するオープンソースインテリジェンスにより、466556e923186364e82cbdb4cad8df2cのJA3Sハッシュと7FF31977972C224A76155D13B6D685E3のTLS証明書シリアル番号が明らかになりました。TalosはこれらのインジケータとCobalt Strikeのプロフィール間に顕著な類似性を指摘し、その後のステージはネットワーク内への足がかりを固め、さらなる陰謀を調整するために展開されたCobalt Strike Beaconである可能性が高いと仮説を立てています。
帰属に関して、Talosは低い信頼度の姿勢を強調しています。UAT-10027とLazarus Groupの間の暫定的な関連付けは、重複する戦術、技術、および手順(TTP)および識別可能なLazaroaderインストルメントとの類似性に基づいています。協議のバージョンには、位置依存の復号化と0x26定数を特徴とするXOR-SUBスキーマ、EDR回避のために設計されたntdllアンフッキング操作、Cloudflare経由のDoHの使用、およびDLLサイドロードとプロセスホローイングの戦略的な融合が含まれます。逆に、ターゲットプロフィールは本質的なLazarusの物語から逸脱しており、より頻繁に暗号通貨強盗と防衛産業基盤に結びつけられています。それにもかかわらず、Talosは北朝鮮の脅威アクターが歴史的に医療と教育の両部門を包囲してきたことに警告しており、したがってターゲットのこの選択は決して信じられません。
