UAT-10027 针对美国教育和医疗的 Dohdoor Backdoor

Source: The Hacker News

概览

• 活动名称: UAT‑10027
• 目标行业: 美国教育和医疗保健
• 主要载荷: Dohdoor – 一种基于 DNS‑over‑HTTPS (DoH) 的后门，能够反射式加载 DLL 并下载额外载荷。
• 首次观察时间: 2025 年 12 月

安全研究员 Alex Karkins 和 Chetan Raghuprasad 将 Dohdoor 描述为使用 DoH 进行指挥控制 (C2) 通信，并且能够反射式下载和执行其他二进制文件（来源）。

图片: 医疗保健网络攻击

投递与执行

初始访问向量尚未确定，但怀疑使用了社交工程钓鱼技术。典型流程如下：

1. 钓鱼邮件 发送恶意 PowerShell 脚本。
2. PowerShell 脚本下载并运行来自远程暂存服务器的 Windows 批处理文件。
3. 批处理文件获取名为 propsys.dll 或 batmeter.dll 的恶意 Windows DLL。

DLL 载荷（Dohdoor）通过 DLL 侧加载 方式使用合法的 Windows 可执行文件（如 Fondue.exe、mblctr.exe、ScreenClippingHost.exe）启动（MITRE ATT&CK）。

图片: Gartner 图示

载荷与 C2

• 后门功能: 提供持久访问，并能将下一阶段载荷直接加载到内存中。
• 观察到的二阶段载荷: Cobalt Strike Beacon。
• C2 基础设施: 托管在 Cloudflare 之后，使出站流量看起来像是合法的 HTTPS，指向受信任的全球 IP 地址（来源）。

DoH 的使用使 Dohdoor 能够绕过基于 DNS 的检测系统、DNS 陷阱以及监控可疑域名查询的网络流量分析工具。

图片: C2 链路示意图

规避技术

• 系统调用解除挂钩: Dohdoor 解除系统调用的挂钩，以规避监控 Windows API 调用的端点检测与响应 (EDR) 解决方案，这些解决方案通常通过 NTDLL.dll 中的用户模式挂钩实现（参考）。
• DLL 侧加载: 在受信任的可执行文件伪装下执行恶意代码。

归属与相关威胁

Cisco Talos 尚未确定具体的威胁行为体，但指出 Dohdoor 与 Lazarloader（此前与朝鲜 Lazarus 组织关联的下载器）在战术上存在相似性（来源）。

虽然 Lazarus 通常针对加密货币和国防部门，UAT‑10027 对教育和医疗保健的关注与其他朝鲜 APT 活动相吻合：

• Maui 勒索软件 – 用于攻击医疗机构（来源）。
• Kimsuky – 以针对教育行业闻名（来源）。

这些重叠表明可能存在朝鲜威胁组织之间的影响或共享工具，尽管具体归属仍不确定。