一個此前未被記錄的威脅活動組織自2025年12月以來一直在針對美國教育和醫療保健部門進行惡意攻擊活動教育。
思科Talos將這一攻擊活動命名為UAT-10027教育。攻擊的最終目標是部署一個前所未見的後門程式Dohdoor。
"Dohdoor利用DNS-over-HTTPS(DoH)技術進行命令控制通訊,並具備下載和反射執行其他載荷二進位制檔案的能力,"安全研究員Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技術報告中表示教育。
儘管該攻擊活動的初始訪問途徑目前尚不清楚,但疑似涉及使用社會工程釣魚技術,導致PowerShell指令碼的執行教育。
該指令碼隨後從遠端暫存伺服器下載並執行Windows批處理指令碼,進而促進下載名為"propsys.dll"或"batmeter.dll"的惡意Windows動態連結庫(DLL)教育。
DLL載荷(即Dohdoor)透過合法的Windows可執行檔案(如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe")使用DLL側載入技術啟動教育。植入程式建立的後門訪問被用於直接將下一階段載荷檢索到受害者記憶體中並執行。該載荷被評估為Cobalt Strike Beacon。
"威脅行為者將命令控制伺服器隱藏在Cloudflare基礎設施後面,確保從受害者機器發出的所有出站通訊看起來都是發往可信全球IP地址的合法HTTPS流量,"Talos表示教育。
"這種技術繞過了基於DNS的檢測系統、DNS沉洞和網路流量分析工具對可疑域名查詢的監控,確保惡意軟體的命令控制通訊能夠繞過傳統網路安全基礎設施的檢測教育。"
研究還發現,Dohdoor透過解除系統呼叫掛鉤來繞過端點檢測和響應(EDR)解決方案,這些解決方案透過NTDLL.dll中的使用者模式掛鉤監控Windows API呼叫教育。
展開全文
Raghuprasad告訴The Hacker News,"攻擊者感染了幾個教育機構,包括一所與其他幾個機構相連的大學,這表明潛在的攻擊面更廣教育。此外,受影響的實體之一是一家醫療機構,專門從事老年護理。"
對該攻擊活動的分析顯示,迄今為止沒有資料洩露的證據教育。儘管除了似乎是用於後門進入受害者環境的Cobalt Strike Beacon之外,沒有觀察到其他最終載荷,但研究人員補充說,基於受害者模式,UAT-10027的行為可能是由經濟利益驅動的。
目前尚不清楚UAT-10027的幕後操控者是誰,但思科Talos表示,他們發現Dohdoor與LazarLoader之間存在一些戰術相似性,後者是此前被識別為朝鮮駭客組織Lazarus用於攻擊韓國的下載器教育。
"雖然UAT-10027的惡意軟體與Lazarus組織在技術上存在重疊,但該攻擊活動對教育和醫療保健部門的關注偏離了Lazarus典型的加密貨幣和國防目標特徵,"Talos總結道教育。
"然而,朝鮮APT行為者曾使用Maui勒索軟體攻擊醫療保健部門,另一個朝鮮APT組織Kimsuky也曾攻擊教育部門,這突出了UAT-10027與其他朝鮮APT在受害者選擇上的重疊教育。"
Q&A
Q1:UAT-10027是什麼組織教育?主要攻擊哪些目標?
A:UAT-10027是思科Talos追蹤的一個此前未被記錄的威脅活動組織,自2025年12月以來一直針對美國的教育和醫療保健部門進行惡意攻擊活動教育。
Q2:Dohdoor後門程式有什麼特殊能力教育?
A:Dohdoor是一個全新的後門程式,利用DNS-over-HTTPS(DoH)技術進行命令控制通訊,具備下載和反射執行其他載荷二進位制檔案的能力,並能透過解除系統呼叫掛鉤繞過端點檢測和響應解決方案教育。
Q3:這次攻擊活動的最終目的是什麼教育?
A:目前分析顯示沒有資料洩露證據,除了部署Cobalt Strike Beacon建立後門訪問外,沒有觀察到其他最終載荷教育。研究人員認為基於受害者模式,UAT-10027的行為可能是由經濟利益驅動的。
