一個此前未被記錄的威脅活動組織自2025年12月以來一直在針對美國教育和醫(yī)療保健部門進(jìn)行惡意攻擊活動。

思科Talos將這一攻擊活動命名為UAT-10027。攻擊的最終目標(biāo)是部署一個前所未見的后門程序Dohdoor。

"Dohdoor利用DNS-over-HTTPS（DoH）技術(shù)進(jìn)行命令控制通信，并具備下載和反射執(zhí)行其他載荷二進(jìn)制文件的能力，"安全研究員Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技術(shù)報(bào)告中表示。

盡管該攻擊活動的初始訪問途徑目前尚不清楚，但疑似涉及使用社會工程釣魚技術(shù)，導(dǎo)致PowerShell腳本的執(zhí)行。

該腳本隨后從遠(yuǎn)程暫存服務(wù)器下載并運(yùn)行Windows批處理腳本，進(jìn)而促進(jìn)下載名為"propsys.dll"或"batmeter.dll"的惡意Windows動態(tài)鏈接庫（DLL）。

DLL載荷（即Dohdoor）通過合法的Windows可執(zhí)行文件（如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe"）使用DLL側(cè)加載技術(shù)啟動。植入程序創(chuàng)建的后門訪問被用于直接將下一階段載荷檢索到受害者內(nèi)存中并執(zhí)行。該載荷被評估為Cobalt Strike Beacon。

"威脅行為者將命令控制服務(wù)器隱藏在Cloudflare基礎(chǔ)設(shè)施后面，確保從受害者機(jī)器發(fā)出的所有出站通信看起來都是發(fā)往可信全球IP地址的合法HTTPS流量，"Talos表示。

"這種技術(shù)繞過了基于DNS的檢測系統(tǒng)、DNS沉洞和網(wǎng)絡(luò)流量分析工具對可疑域名查詢的監(jiān)控，確保惡意軟件的命令控制通信能夠繞過傳統(tǒng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的檢測。"

研究還發(fā)現(xiàn)，Dohdoor通過解除系統(tǒng)調(diào)用掛鉤來繞過端點(diǎn)檢測和響應(yīng)（EDR）解決方案，這些解決方案通過NTDLL.dll中的用戶模式掛鉤監(jiān)控Windows API調(diào)用。

Raghuprasad告訴The Hacker News，"攻擊者感染了幾個教育機(jī)構(gòu)，包括一所與其他幾個機(jī)構(gòu)相連的大學(xué)，這表明潛在的攻擊面更廣。此外，受影響的實(shí)體之一是一家醫(yī)療機(jī)構(gòu)，專門從事老年護(hù)理。"

對該攻擊活動的分析顯示，迄今為止沒有數(shù)據(jù)泄露的證據(jù)。盡管除了似乎是用于后門進(jìn)入受害者環(huán)境的Cobalt Strike Beacon之外，沒有觀察到其他最終載荷，但研究人員補(bǔ)充說，基于受害者模式，UAT-10027的行為可能是由經(jīng)濟(jì)利益驅(qū)動的。

目前尚不清楚UAT-10027的幕后操控者是誰，但思科Talos表示，他們發(fā)現(xiàn)Dohdoor與LazarLoader之間存在一些戰(zhàn)術(shù)相似性，后者是此前被識別為朝鮮黑客組織Lazarus用于攻擊韓國的下載器。

"雖然UAT-10027的惡意軟件與Lazarus組織在技術(shù)上存在重疊，但該攻擊活動對教育和醫(yī)療保健部門的關(guān)注偏離了Lazarus典型的加密貨幣和國防目標(biāo)特征，"Talos總結(jié)道。

"然而，朝鮮APT行為者曾使用Maui勒索軟件攻擊醫(yī)療保健部門，另一個朝鮮APT組織Kimsuky也曾攻擊教育部門，這突出了UAT-10027與其他朝鮮APT在受害者選擇上的重疊。"

Q&A

Q1：UAT-10027是什么組織？主要攻擊哪些目標(biāo)？

A：UAT-10027是思科Talos追蹤的一個此前未被記錄的威脅活動組織，自2025年12月以來一直針對美國的教育和醫(yī)療保健部門進(jìn)行惡意攻擊活動。

Q2：Dohdoor后門程序有什么特殊能力？

A：Dohdoor是一個全新的后門程序，利用DNS-over-HTTPS（DoH）技術(shù)進(jìn)行命令控制通信，具備下載和反射執(zhí)行其他載荷二進(jìn)制文件的能力，并能通過解除系統(tǒng)調(diào)用掛鉤繞過端點(diǎn)檢測和響應(yīng)解決方案。

Q3：這次攻擊活動的最終目的是什么？

A：目前分析顯示沒有數(shù)據(jù)泄露證據(jù)，除了部署Cobalt Strike Beacon創(chuàng)建后門訪問外，沒有觀察到其他最終載荷。研究人員認(rèn)為基于受害者模式，UAT-10027的行為可能是由經(jīng)濟(jì)利益驅(qū)動的。