複数ライセンス割引見積
脅威データベース バックドア Dohdoor Backdoor

Dohdoor Backdoor

バックドア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

これまで記録されていなかった脅威活動クラスターが、少なくとも2025年12月以降、米国全土の教育および医療分野を標的とした進行中の悪意のあるキャンペーンに関連付けられていることが判明しました。セキュリティ研究者は、この活動をUAT-10027という名称で追跡しています。このキャンペーンの主な目的は、新たに特定された「Dohdoor」と呼ばれるバックドアを展開することです。

複数の教育機関が既に侵害を受けており、その中には複数の関連機関と接続している大学も含まれており、攻撃対象が拡大している可能性を示唆しています。高齢者介護を専門とする医療施設も被害に遭っていることが確認されており、今回の攻撃が特定の分野に特化していることが浮き彫りになっています。

感染チェーンとマルウェアの展開

正確な初期アクセスベクトルは未だ不明ですが、捜査官たちは、この攻撃キャンペーンはソーシャル エンジニアリング ベースのフィッシング戦術から始まり、最終的に悪意のある PowerShell スクリプトの実行をトリガーするものと推測しています。

感染のシーケンスは複数の段階で展開されます。

  • PowerShell スクリプトは、リモート ステージング サーバーから Windows バッチ ファイルを取得して実行します。
  • 次に、バッチ ファイルは、通常「propsys.dll」または「batmeter.dll」という名前の悪意のある DLL ファイルをダウンロードします。
  • Dohdoor として識別される DLL は、「Fondue.exe」、「mblctr.exe」、または「ScreenClippingHost.exe」などの正規の Windows バイナリを使用して DLL サイドローディングを通じて実行されます。
  • バックドアはアクティブになると、Cobalt Strike Beacon であると評価されるセカンダリ ペイロードを直接メモリに読み込み、実行します。

この多層的な実行チェーンは、検出を回避するために悪意のあるコンポーネントを信頼できるシステム プロセスと組み合わせようとする意図的な取り組みを示しています。

秘密の指揮統制インフラ

Dohdoorは、DNS over HTTPS(DoH)を利用してコマンドアンドコントロール(C2)通信を管理します。HTTPSトラフィック内のDNSクエリを暗号化することで、マルウェアは一見正当な暗号化されたWebトラフィック内に通信を隠蔽します。

脅威アクターは、C2サーバーをCloudflareのネットワーク経由でルーティングすることで、インフラストラクチャをさらに隠蔽します。その結果、侵害されたシステムからの送信通信は、信頼できるグローバルIPアドレス宛ての標準的なHTTPSトラフィックのように見えます。

このアプローチは、次のような従来の防御メカニズムを効果的に回避します。

  • DNSベースの検出システムとDNSシンクホール
  • 疑わしいドメイン検索をフラグ付けするネットワーク監視ツール
  • 従来のトラフィック分析ソリューションは、目に見えるDNSクエリに依存しています。

Dohdoorは、ネットワーク回避技術に加え、NTDLL.dllのシステムコールを積極的にアンフックすることで、ユーザーモードAPI監視に依存するエンドポイント検出・対応(EDR)ソリューションを回避します。この機能により、エンドポイントレベルでの行動検出の可能性が大幅に低減されます。

事業目標と財務上の動機

現時点では、データ窃取の確証は確認されていません。後続ペイロードとしてCobalt Strike Beaconが展開されたこと以外、最終段階のマルウェアは確認されていません。

ランサムウェアやデータ窃盗活動は今のところ確認されていないものの、アナリストは、このキャンペーンは金銭目的である可能性が高いと評価しています。この結論は、被害者学のパターンと、金銭目的の侵入で一般的に使用されるエクスプロイト後のフレームワークに共通するツールの展開に基づいています。

帰属分析と北朝鮮の重複

UAT-10027の背後にいるグループの正体は依然として不明ですが、研究者らはDohdoorと、以前は北朝鮮の脅威グループLazarusに帰属するとされていたダウンローダーLazarLoaderの間に戦術的な類似点があることを特定しました。

Lazarus 関連のマルウェアとの技術的な重複はあるものの、教育と医療に焦点を当てたこのキャンペーンは、Lazarus が従来標的としてきた暗号通貨プラットフォームや防衛関連組織とは異なっています。

しかしながら、北朝鮮の高度で持続的な脅威(APT)を仕掛けるアクターの過去の活動は、被害者特性の共通点を部分的に示しています。例えば、北朝鮮の攻撃者は医療機関に対してMauiランサムウェアを展開し、Kimsukyグループは教育機関を標的としています。これらの前例は、UAT-10027の標的プロファイルとのテーマ的な重複を浮き彫りにしていますが、明確な帰属先は特定されていません。

洗練された回避技術、選択的なセクターの標的化、およびインフラストラクチャの隠蔽の組み合わせにより、UAT-10027 は、重要なサービス セクター全体で強化された警戒を必要とする重大かつ進化する脅威として位置付けられています。

トレンド

Getfastbrowser.download

不正なウェブサイト, 望ましくない可能性のあるプログラム
侵入型で信頼できないアプリケーションからデバイスを保護することは、もはやオプションではなく、必須です。潜在的に不要なプログラム(PUP)は一見無害に見えるかもしれませんが、ブラウザ設定に干渉したり、欺瞞的なコンテンツにさらしたり、全体的なセキュリティ体制を弱めたりする可能性があります。懸念される最近の例としては、侵入型のブラウザハイジャッカー活動と頻繁に関連付けられる怪しいページであるGet...

ペイロードランサムウェア

ランサムウェア
ランサムウェアの急速な進化は、ユーザーと組織が最新のマルウェアからデバイスを保護することの重要性を浮き彫りにしています。一度感染してしまうと、データの暗号化、業務の中断、金銭的損失、そして深刻な風評被害につながる可能性があります。現在分析中の高度な脅威の一つに、データ暗号化と脅迫によって被害者から金銭を詐取することを目的とした、高度なファイル暗号化マルウェア「ペイロードランサムウェア」があり...

FedEx Express - 荷物を受け取りましたというメール詐欺

フィッシング, マルウェア, スパム
今日の脅威情勢において、予期せぬメールへの対応には警戒を怠らないことが不可欠です。サイバー犯罪者は、顧客の信頼と好奇心を悪用するために、有名ブランドを装うことを常々行っています。いわゆる「FedEx Express - お客様の荷物を受け取りました」というメールは、この手口の典型例です。正規の宅配業者から送信されたように見えますが、これらのメッセージは実在する企業、組織、団体とは一切関係がありません。実際には、デバイスにマルウェアを感染させることを目的とした悪意のあるキャンペーンの一部です。 偽のFedEx通知の詳細 詐欺メールは、信頼できる配送サービスプロバイダーであるFedExからの...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
36,127
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
29,157
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
28,950
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...