Новая кампания вредоносного ПО Dohdoor нацелена на образование и здравоохранение
Ученые из Cisco Talos обнаружили новую кампанию вредоносного ПО, нацеленную на отрасли образования и здравоохранения в США. Эта кампания включает в себя ранее не описанную дверь в задней части (backdoor) под названием "Dohdoor", которая использует технику DNS-over-HTTPS (DoH) для скрытой связи с серверами командования и управления (C2).
Введение
Команда Cisco Talos обнаружила новую кампанию вредоносного ПО, проводимую группой угрозы UAT-10027. Эта кампания началась не менее чем в декабре 2025 года и нацелена на отрасли образования и здравоохранения в США. Вредоносное ПО "Dohdoor" представляет собой дверь в задней части, которая использует технику DNS-over-HTTPS (DoH) для связи с серверами C2 и имеет возможность загрузки и выполнения других вредоносных файлов.Подробности
Кампания вредоносного ПО включает в себя многоступенчатую цепочку атак, которая начинается с социальной инженерии и фишинга. Цепочка заражения включает в себя выполнение скрипта PowerShell, который загружает и запускает скрипт Windows-батч из удаленного сервера. Затем этот скрипт загружает вредоносную библиотеку DLL, которая маскируется под законную библиотеку Windows. Этот вредоносный DLL, называемый "Dohdoor", затем загружается в законный исполняемый файл Windows. Как только "Dohdoor" активируется, он использует технику DNS-over-HTTPS (DoH) для разрешения доменов C2 в службе DNS Cloudflare. Затем он устанавливает HTTPS-туннель для связи с сетью Cloudflare, которая служит передним краем скрытой инфраструктуры C2. "Dohdoor" создает дверь в задней части для входа в среду жертвы, позволяя группе угрозы загружать следующий вредоносный payload непосредственно в память компьютера жертвы и выполнять потенциальный payload Cobalt Strike Beacon в пределах законных процессов Windows.Что делать
Для защиты от этой кампании вредоносного ПО рекомендуется использовать надежные решения безопасности, такие как VPN, MFA и TLS, а также внедрять регулярные обновления программного обеспечения и системы обнаружения и предотвращения вторжений. Кроме того, важно быть осторожными с подозрительными электронными письмами и вложениями, поскольку они могут быть использованы для распространения вредоносного ПО. В заключении, новая кампания вредоносного ПО Dohdoor представляет собой серьезную угрозу для отраслей образования и здравоохранения в США. Для защиты от этой угрозы необходимо принять комплексный подход к безопасности, включающий использование надежных решений безопасности, регулярные обновления программного обеспечения и осторожность с подозрительными электронными письмами и вложениями.Источник: Cisco Talos Intelligence