你听说过Dohdoor吗?这个名字可能有点陌生,但它可是这次美国教育医疗机构遭受攻击的关键幕后黑手。虽然这个组织此前从未被记录过,但他们早在2025年12月就开始行动了,思科Talos给他们起了个代号叫UAT-10027。 他们的最终目标非常明确,就是要部署一个名叫Dohdoor的全新后门程序。这东西有多厉害?安全研究员Alex Karkins和Chetan Raghuprasad说,Dohdoor用DNS-over-HTTPS(DoH)技术来发号施令,还能下载其他文件并执行。虽然目前还不知道他们最初是怎么进去的,但看起来很像是用钓鱼邮件引诱受害者运行PowerShell脚本。 这脚本之后会去下载并运行批处理文件,接着就会下载那个叫"propsys.dll"或"batmeter.dll"的恶意DLL。值得注意的是,这个DLL并不直接运行,而是通过合法的Windows程序(比如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe")用DLL侧加载技术启动的。一旦成功植入,攻击者就能直接在内存里拿到下一个载荷并执行,这个载荷就是Cobalt Strike Beacon。 更让人头疼的是,为了隐藏身份,威胁行为者把命令控制服务器藏在了Cloudflare后面。这样一来,受害者发出的流量看着就像是正常的HTTPS请求发往可信的全球IP地址。这种做法绕过了传统的DNS检测、DNS沉洞和网络流量分析工具的监控。为了防止被端点检测工具发现,Dohdoor甚至还会解除系统调用挂钩。 研究人员发现,这次受害的不光是一家机构,还有一所和其他大学相连的学校。另外一家被攻击的医疗机构专门照顾老年人。虽然目前还没发现数据泄露的证据,而且除了创建后门的Cobalt Strike Beacon外也没看到其他最终目标,但研究员觉得UAT-10027这么做很可能是为了钱。 至于背后的人是谁还不清楚,但思科Talos发现Dohdoor和朝鲜黑客组织Lazarus用过的LazarLoader有战术上的相似之处。不过不同的是,这次攻击盯着的是教育和医疗保健部门,和Lazarus通常去搞加密货币和国防目标不太一样。当然了,朝鲜的其他APT组织也干过类似的事:Maui勒索软件攻击过医疗部门,Kimsuky则攻击过教育机构。 这个Q&A咱们来聊聊几个关键问题: 第一问:UAT-10027是什么组织?他们主要打谁? 答:这是个思科Talos追踪的新威胁组织,从2025年12月起一直在搞美国的教育和医疗保健部门。 第二问:Dohdoor后门有啥本事? 答:它利用DoH技术发命令、下载文件还能执行,还能破解EDR解决方案。 第三问:这次攻击到底要干嘛? 答:目前没数据泄露证据,除了拿Cobalt Strike Beacon挖后门外没别的目的。大家推测他们可能是冲着经济利益来的。