Новая угроза для секторов образования и здравоохранения: бэкдор Dohdoor использует DNS через HTTPS для скрытого доступа

Многоэтапная цепочка компрометации

Кампания начинается, предположительно, с фишинговой рассылки, нацеленной на сотрудников. Жертва получает документ или ссылку, ведущую к исполнению PowerShell-скрипта. Этот скрипт, в свою очередь, загружает и запускает пакетный файл (".bat" или ".cmd") с удалённого сервера. Данный файл выполняет роль дроппера, организуя ключевой этап атаки - подмену библиотек.

Сценарий создаёт скрытую рабочую папку в системных каталогах, например, "C:\ProgramData", куда загружает вредоносную DLL-библиотеку, маскируя её под легитимный системный файл, такой как "propsys.dll". Параллельно в эту же папку копируется настоящий исполняемый файл Windows, такой как "Fondue.exe". При его запуске из этой папки операционная система автоматически загружает находящуюся рядом вредоносную DLL, что и является техникой подмены. Перед завершением работы скрипт активно затрудняет расследование, очищая историю команд, данные буфера обмена и удаляя сам себя.

Сердце атаки: бэкдор Dohdoor и его скрытные коммуникации

Загруженная библиотека, получившая название Dohdoor, представляет собой сложный загрузчик. Для скрытия своего присутствия он использует несколько продвинутых техник. Во-первых, импортируемые функции Windows разрешаются динамически с помощью хешей, что усложняет статический анализ и обходит сигнатурные детекты. Во-вторых, для связи с командным сервером применяется DNS-over-HTTPS.

Вместо отправки обычных DNS-запросов, которые легко отследить, Dohdoor формирует шифрованные HTTPS-запросы к DNS-серверам Cloudflare на 443-м порту. Это позволяет разрешить доменное имя C2-сервера, оставаясь практически невидимым для классических систем сетевой безопасности, мониторящих DNS-трафик, и обходя DNS- sinkhole. Получив IP-адрес, бэкдор устанавливает HTTPS-туннель к инфраструктуре Cloudflare, которая выступает в роли фасада, скрывая реальный C2-сервер злоумышленника. Весь исходящий трафик с заражённой машины выглядит как легитимное обращение к доверенному адресу Cloudflare.

Уклонение от защиты и выполнение полезной нагрузки

После установки соединения Dohdoor загружает зашифрованную полезную нагрузку. Для её расшифровки используется пользовательский алгоритм XOR-SUB с зависимостью от позиции байта и использованием константы "0x26". Расшифрованные данные затем внедряются в память легитимных процессов Windows, таких как "OpenWith.exe" или "wab.exe", с помощью техники Process Hollowing («опустошение процесса»). Это позволяет вредоносному коду выполняться в контексте доверенного процесса.

Особого внимания заслуживает реализованный в Dohdoor механизм обхода EDR-систем. Многие продукты безопасности используют технику хукинга, подменяя первые байты критических функций в библиотеке "ntdll.dll" для их мониторинга. Dohdoor обнаруживает такие хуки, проверяя начальные байты функции "NtProtectVirtualMemory". Если обнаруживается отклонение от ожидаемого шаблона системного вызова, бэкдор патчит эту функцию, восстанавливая оригинальный код или создавая обходной путь для прямого системного вызова, что полностью нейтрализует механизм наблюдения EDR.

Хотя исследователям не удалось захватить финальную полезную нагрузку в этой кампании, анализ сетевых артефактов указывает на возможное использование злоумышленником фреймворка Cobalt Strike. Об этом свидетельствуют совпадения JA3S-хэша и серийного номера TLS-сертификата на одном из C2-серверов с характеристиками сервера Cobalt Strike по умолчанию. Это позволяет предположить, что конечной целью является установка персистентного бикона для удалённого управления и дальнейшего продвижения по сети жертвы.

Профиль угрозы и возможная атрибуция

Исследователи Talos с низкой степенью уверенности отмечают пересечение тактик, техник и процедур (TTP) группы UAT-10027 с методами, характерными для северокорейской APT-группы (Advanced Persistent Threat, продвинутая постоянная угроза) Lazarus. К числу совпадений относятся специфический алгоритм дешифрования с константой "0x26", техника анхукинга системных вызовов для обхода EDR, использование DoH через Cloudflare, Process Hollowing в определённые процессы и маскировка под "propsys.dll". Кроме того, выбор нестандартных доменных зон верхнего уровня (".DeSigN", ".SoFTWARe") с изменением регистра символов также соответствует операционным предпочтениям Lazarus.

Вместе с тем, фокус на сектора образования и здравоохранения несколько отклоняется от типичных целей Lazarus, обычно нацеленных на криптовалютные компании и оборонный сектор. Однако в истории есть прецеденты: северокорейские группы использовали программы-вымогатели Maui против здравоохранения, а APT Kimsuky - атаковали образовательные учреждения. Это не исключает возможности либо эволюции тактики Lazarus, либо деятельности связанной с ним группы.

Выводы и рекомендации

Кампания UAT-10027 демонстрирует растущую тенденцию к использованию легитимных облачных сервисов и протоколов для маскировки вредоносной активности. Бэкдор Dohdoor является технологически продвинутым инструментом, представляющим значительную сложность для обнаружения.

Для противодействия подобным угрозам организациям, особенно в уязвимых секторах, рекомендуется:

1. Повышать осведомлённость сотрудников о фишинге как основном векторе первоначального доступа.
2. Внедрять строгие политики ограничения исполнения скриптов (PowerShell, WSH) и использовать средства контроля приложений.
3. Мониторить сетевой трафик на предмет аномального использования DoH-протокола, особенно исходящего от рабочих станций, а не корпоративных DNS-резолверов.
4. Обращать внимание на процессы, выполняемые из нестандартных путей (например, из "C:\ProgramData" или "C:\Users\Public"), что может указывать на технику подмены библиотек.
5. Использовать EDR-решения с возможностями поведенческого анализа, способными обнаруживать такие техники, как Process Hollowing и манипуляции с памятью, а также регулярно обновлять их для детектирования методов обхода.
6. Проводить аудит и харденинг систем, ограничивая или контролируя выполнение легитимных LOLBin-утилит, которые могут быть использованы злоумышленниками.

Domains

• CJiTDrpwnnA.MswINsoFTUPDLoad.deSigN
• EzQrvkFgEJWCTDNc.pNuiSCKMhwAgZvdyjrlBEFT.softwarE
• GITkzxd.pNUIScKMhWAgZvdyJRlBEFT.SoFtwaRE
• GppiwoGwNdiakkDU.pnuiSckMHwaGzvDYjRLbeFt.SoFTWARe
• LBaNDUgZCFG.deepInspectiOnSYSTEM.oNLiNE
• LsyPdQGXrEDfPx.MSwInSofTUpDloAd.dESign
• QHtcKZBXtKdVyr.mSWinSoFTUpdLOAD.DeSIgn
• SDXsIol.PNUIsckmHwAgzVdYJRlbeFT.SoftWarE
• txjIQslrRIg.MSwINSOFTUPDLoaD.DesiGN
• YHDJTyLNsMWVuU.DEEPinSPeCTioNsyStEM.OnLiNe

URLs

• http://CJiTDrpwnnA.MswINsoFTUPDLoad.deSigN/x111111
• http://ezQrvkFgEJWCTDNc.pNuiSCKMhwAgZvdyjrlBEFT.softwarE/111111?sub=d
• http://gITkzxd.pNUIScKMhWAgZvdyJRlBEFT.SoFtwaRE/X111111
• http://GppiwoGwNdiakkDU.pnuiSckMHwaGzvDYjRLbeFt.SoFTWARe/111111?sub=s
• http://lBaNDUgZCFG.deepInspectiOnSYSTEM.oNLiNE/X111111
• http://lLalWpIJnjskClwY.PnUiscKMhWaGzVdyJRlBEfT.SofTWaRe/111111?sub=s
• http://LsyPdQGXrEDfPx.MSwInSofTUpDloAd.dESign/111111?sub=s
• http://sDXsIol.PNUIsckmHwAgzVdYJRlbeFT.SoftWarE/X111111

SHA256

• 0bb130b1fafb17705d31fe5dd25e7b2d62176578609d75cc57911ef5582ef17a
• 2ce3e75997f89b98dd280d164a5f21f7565f4de26eed61243badde04b480700e
• 54545fa3a2d8da6746021812ebaa9d26f33bba4f63c6f7f35caa6fa4ee8c0e6a
• 54e18978c6405f56cd59ba55a62291436639f21cf325ae509f0599b15e8f7f53
• 800faaf15d5f42f2ab2c1d2b6b65c8a9e4def6dc10f6ce4e269dcf23f4e8dae2
• 8e97c677aec905152f8a92fed50bb84ef2e8985d5c29330c5a05a4a2afcbd4a5
• b1bd8f7d4488977cca03954a57f5c8ad7bfd4609bcc3bae92326830fcbd3232c