Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Hintertür-Viren Dohdoor Backdoor

Dohdoor Backdoor

Von Mezo in Hintertür-Viren, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Ein bisher unbekannter Cluster von Bedrohungsaktivitäten wurde mit einer seit mindestens Dezember 2025 andauernden, bösartigen Kampagne in Verbindung gebracht, die den Bildungs- und Gesundheitssektor in den Vereinigten Staaten ins Visier nimmt. Sicherheitsforscher verfolgen diese Aktivität unter der Bezeichnung UAT-10027. Hauptziel der Kampagne ist die Installation einer neu identifizierten Hintertür namens Dohdoor.

Mehrere Bildungseinrichtungen, darunter eine Universität mit Verbindungen zu mehreren angeschlossenen Institutionen, wurden bereits kompromittiert, was auf eine potenziell große Angriffsfläche hindeutet. Auch eine auf Altenpflege spezialisierte Pflegeeinrichtung wurde als Opfer bestätigt, was den branchenspezifischen Fokus der Operation unterstreicht.

Infektionskette und Malware-Verbreitung

Obwohl der genaue Ursprung des Zugriffs noch nicht geklärt ist, vermuten die Ermittler, dass die Kampagne mit Phishing-Taktiken auf Social-Engineering-Basis beginnt, die letztendlich die Ausführung eines bösartigen PowerShell-Skripts auslösen.

Der Infektionsablauf verläuft in mehreren Phasen:

  • Das PowerShell-Skript ruft eine Windows-Batchdatei von einem Remote-Staging-Server ab und führt sie aus.
  • Die Batch-Datei lädt dann eine schädliche DLL-Datei herunter, die typischerweise 'propsys.dll' oder 'batmeter.dll' heißt.
  • Die als Dohdoor identifizierte DLL wird durch DLL-Sideloading mithilfe legitimer Windows-Binärdateien wie 'Fondue.exe', 'mblctr.exe' oder 'ScreenClippingHost.exe' ausgeführt.
  • Sobald die Hintertür aktiv ist, lädt sie eine sekundäre Nutzlast direkt in den Speicher und führt sie aus. Bei dieser Nutzlast handelt es sich laut Analyse um einen Cobalt Strike Beacon.

Diese mehrschichtige Ausführungskette verdeutlicht die gezielten Bemühungen, bösartige Komponenten mit vertrauenswürdigen Systemprozessen zu vermischen, um einer Entdeckung zu entgehen.

Verdeckte Kommando- und Kontrollinfrastruktur

Dohdoor nutzt DNS-over-HTTPS (DoH) zur Steuerung der Command-and-Control-Kommunikation (C2). Durch die Verschlüsselung von DNS-Anfragen innerhalb des HTTPS-Datenverkehrs verschleiert die Schadsoftware ihre Kommunikation im scheinbar legitimen verschlüsselten Webverkehr.

Der Angreifer verschleiert die Infrastruktur zusätzlich, indem er die C2-Server über das Netzwerk von Cloudflare leitet. Dadurch erscheint die ausgehende Kommunikation kompromittierter Systeme als normaler HTTPS-Verkehr, der an eine vertrauenswürdige globale IP-Adresse gerichtet ist.

Dieser Ansatz umgeht effektiv traditionelle Abwehrmechanismen, darunter:

  • DNS-basierte Erkennungssysteme und DNS-Sinkholes
  • Netzwerküberwachungstools, die verdächtige Domain-Lookups kennzeichnen
  • Herkömmliche Lösungen zur Verkehrsanalyse basieren auf sichtbaren DNS-Abfragen.

Zusätzlich zu Netzwerkumgehungstechniken trennt Dohdoor aktiv Systemaufrufe in der NTDLL.dll, um Endpoint Detection and Response (EDR)-Lösungen zu umgehen, die auf der Überwachung von Benutzermodus-APIs basieren. Diese Funktion reduziert die Wahrscheinlichkeit der Verhaltenserkennung auf Endpunktebene erheblich.

Operative Ziele und finanzielle Motivation

Bislang liegen keine bestätigten Hinweise auf Datenexfiltration vor. Abgesehen vom Einsatz von Cobalt Strike Beacon als Folgenutzlast wurde keine weitere Malware in der Endphase beobachtet.

Obwohl bisher weder Ransomware-Angriffe noch Datendiebstähle gemeldet wurden, gehen Analysten davon aus, dass die Kampagne finanziell motiviert ist. Diese Schlussfolgerung basiert auf dem Muster der Opfer und dem Einsatz von Tools, die typischerweise mit Post-Exploitation-Frameworks für monetarisierungsgetriebene Angriffe in Verbindung gebracht werden.

Attributionsanalyse und Überschneidungen mit Nordkorea

Die Identität der Gruppe hinter UAT-10027 ist weiterhin unbekannt. Forscher haben jedoch taktische Ähnlichkeiten zwischen Dohdoor und LazarLoader festgestellt, einem Downloader, der zuvor der nordkoreanischen Bedrohungsgruppe Lazarus zugeordnet wurde.

Obwohl es technische Überschneidungen mit Lazarus-bezogener Malware gibt, unterscheidet sich der Fokus der Kampagne auf Bildung und Gesundheitswesen von Lazarus' traditioneller Zielsetzung von Kryptowährungsplattformen und Einrichtungen im Verteidigungsbereich.

Dennoch zeigen historische Aktivitäten nordkoreanischer APT-Akteure (Advanced Persistent Threat) teilweise Übereinstimmungen im Opferprofil. So haben nordkoreanische Akteure beispielsweise die Maui-Ransomware gegen Gesundheitseinrichtungen eingesetzt, und die Gruppe Kimsuky hat Bildungseinrichtungen ins Visier genommen. Diese Beispiele verdeutlichen thematische Überschneidungen mit dem Zielprofil von UAT-10027, auch wenn eine eindeutige Zuordnung noch nicht erfolgt ist.

Die Kombination aus ausgeklügelten Ausweichtechniken, gezielter Sektoraussage und Tarnung der Infrastruktur macht UAT-10027 zu einer bedeutenden und sich ständig weiterentwickelnden Bedrohung, die erhöhte Wachsamkeit in allen kritischen Dienstleistungssektoren erfordert.

Im Trend

Am häufigsten gesehen

Wird geladen...