UAT-10027, Dohdoor 백도어를 이용해 미국 교육 및 의료를 목표로 함

Source: The Hacker News

Overview

• Campaign name: UAT‑10027
• Target sectors: 미국 교육 및 의료 부문
• Primary payload: Dohdoor – DNS‑over‑HTTPS (DoH) 백도어로, 반사형 DLL 로딩 및 추가 페이로드 다운로드가 가능함.
• First observed: 2025년 12월

보안 연구원 Alex Karkins와 Chetan Raghuprasad는 Dohdoor가 C2(명령‑제어) 통신에 DoH를 사용하고, 다른 바이너리를 반사적으로 다운로드·실행할 수 있다고 설명했습니다(source).

Image: Healthcare cyber‑attack

Delivery and Execution

초기 접근 경로는 아직 확정되지 않았지만, 사회공학 피싱 기법이 의심됩니다. 일반적인 흐름은 다음과 같습니다:

1. 피싱 이메일을 통해 악성 PowerShell 스크립트가 전달됨.
2. PowerShell 스크립트가 원격 스테이징 서버에서 Windows 배치 파일을 다운로드하고 실행함.
3. 배치 파일이 propsys.dll 또는 batmeter.dll이라는 악성 Windows DLL을 가져옴.

DLL 페이로드(Dohdoor)는 Fondue.exe, mblctr.exe, ScreenClippingHost.exe와 같은 정식 Windows 실행 파일을 이용한 DLL 사이드‑로딩으로 실행됩니다(MITRE ATT&CK).

Image: Gartner diagram

Payload and C2

• Backdoor functionality: 지속적인 접근 권한을 제공하고, 다음 단계 페이로드를 메모리 내에서 직접 가져올 수 있음.
• Observed second‑stage payload: Cobalt Strike Beacon.
• C2 infrastructure: Cloudflare 뒤에 호스팅되어 있어, 아웃바운드 트래픽이 신뢰할 수 있는 전 세계 IP 주소로 향하는 정상적인 HTTPS처럼 보임(source).

DoH를 사용함으로써 Dohdoor는 DNS 기반 탐지 시스템, DNS 싱크홀, 의심스러운 도메인 조회를 모니터링하는 네트워크 트래픽 분석 도구를 우회할 수 있습니다.

Image: C2 chain illustration

Evasion Techniques

• System‑call unhooking: Dohdoor는 NTDLL.dll의 사용자 모드 훅을 통해 Windows API 호출을 모니터링하는 엔드포인트 탐지 및 대응(EDR) 솔루션을 회피하기 위해 시스템 콜을 언훅합니다(reference).
• DLL side‑loading: 신뢰된 실행 파일을 가장해 악성 코드를 실행합니다.

Attribution and Related Threats

Cisco Talos는 특정 위협 행위자를 확인하지 못했지만, Dohdoor와 Lazarloader 사이에 전술적 유사성이 있다고 언급했습니다. Lazarloader는 이전에 북한 Lazarus Group과 연결된 다운로더입니다(source).

Lazarus는 주로 암호화폐와 방위 부문을 목표로 하지만, UAT‑10027이 교육 및 의료 부문에 초점을 맞춘 점은 다른 북한 APT 활동과 일치합니다:

• Maui ransomware – 의료 기관을 대상으로 사용됨(source).
• Kimsuky – 교육 부문을 타깃으로 알려짐(source).

이러한 겹침은 북한 위협 그룹 간에 영향력이나 도구 공유가 있을 가능성을 시사하지만, 확정적인 귀속은 아직 불확실합니다.