In den letzten Monaten haben die Antwort- und Bedrohungsanalyseteams Alarmlichter für eine nachhaltige Kampagne entwickelt, die zumindest seit Dezember 2025 hauptsächlich Institutionen des Bildungs- und Gesundheitssektors in den Vereinigten Staaten anstrebt. Cisco Talos Forscher haben diese Aktivität unter dem Label gruppiert UAT-10027 und haben ein neues Implantat identifiziert, getauft als Dohdoor die moderne Techniken einführt, um unsichtbar zu bleiben und sich frei in engagierten Netzwerken zu bewegen.
Der anfängliche Vektor wurde noch nicht vollständig bestätigt, aber das von Talos beschriebene Muster weist auf typische Social Engineering-Szenarien hin: eine bösartige Post oder ein Dokument, das zur Ausführung eines PowerShell-Skripts führt. Dieses Skript fungiert als Eingangstür, dann geht nach unten und läuft eine Batch-Datei von einem Vorbereitungsserver, die wiederum eine dynamische Windows-Bibliothek (DLL) mit Namen herunterladen, die unbemerkt passieren wollen, wie "propsys.dll" oder "batmeter.dll".
Die DLL - Dohdoor selbst - kommt nicht allein an: es nutzt legitime Systemprozesse zu laden. Insbesondere verwendet es die als DLL Seitenrollen, die aus der Nutzung von legitimen Windows-Executables (Fondue.exe, mblctr.exe, ScreenClipingHost.exe, unter anderem) besteht, um das Laden von bösartiger DLL im Zusammenhang mit einem zuverlässigen Prozess zu zwingen. Sie können die technische Beschreibung dieser Taktik in der Wissensbasis MITRE ATT & CK sehen: DLL Sideloading (T1574.001).
Sobald die Hintertür eingerichtet ist, verwendet Dohdoor DNS-over-HTTPS (DoH) als Befehls- und Steuerkanal (C2), der die Erkennung durch herkömmliche Mittel stark erschwert. Durch die Einkapselung von DNS-Beratungen innerhalb des HTTPS-Verkehrs auf öffentliche Infrastruktur wird schädlicher Verkehr mit legitimen Kommunikationen vermischt und erscheint als verschlüsselte Verbindungen zu Trust-Diensten. Cisco Talos unterstreicht auch, dass die Betreiber ihre C2-Server hinter der Cloudflare-Plattform verstecken, so dass die verlobten Maschinen IP-Adressen des globalen Vertrauens kontaktieren, was den Weg, den sie in Netzwerküberwachungssystemen verlassen, reduziert.
Die Verwendung von DoH ist nicht inhärent schädlich, aber sein Missbrauch stellt eine Herausforderung für Verteidiger: traditionelle Mechanismen, die Domainnamen analysieren oder Konsultationen zu "Sinkholes" umleiten, sind vor einem DNS-Tunnel, der von HTTPS verschlüsselt ist, weitgehend nutzlos. Wenn Sie verstehen wollen, wie diese DNS-Auflösungen auf HTTPS wirklich aus technischer Sicht funktionieren, ist die Cloudflare-Dokumentation ein guter Ausgangspunkt: DNS-over-HTTPS - Cloudflare.
Eine weitere Stealthschicht in Dohdoor ist seine Fähigkeit, Endpunktlösungen zu vermeiden. Forscher beobachteten, dass Malware Techniken durchführt, um Benutzerhaken auf ntdll.dll zu löschen und so die Erkennungen zu vermeiden, die viele EDR implementieren, wenn die Überwachung von Windows APIs Anrufe. Dieser "unhook" oder Vermeidung von Haken-Ansatz wurde von Sicherheitsteams dokumentiert: Technische Erklärung von MDSEC.
Darüber hinaus ist Dohdoor nicht glücklich, als einfache Hintertür zu bleiben: sein operativer Zweck ist, wiederherzustellen und spätere Lasten direkt im Speicher laufen. In den von Talos analysierten Zwischenfällen war die im Speicher entladene und ausgeführte Last eine Installation von Cobalt Strike Beacon, ein Post-Exploitation-Tool, das Angreifer für seitliche Bewegung, Exfiltration und Persistenz in gefährdeten Umgebungen verwenden.
Was die Autorschaft betrifft, weist Talos auf taktische Ähnlichkeiten zwischen dem Satz von Werkzeugen, die von UAT-10027 verwendet werden, und Malware-Familien in der Vergangenheit mit nordkoreanischen Gruppen, wie Lazarloader, verbunden, aber nicht definitiv die Kampagne zu einem bestimmten Schauspieler. Es ist wichtig, dass die Entscheidung über die Einhaltung von Vorsichtsmaßnahmen wichtig ist: Obwohl es technische Übereinstimmungen gibt, passen die Wahl der Opfer - Bildung und Gesundheit - und andere operationelle Indikatoren nicht vollständig dem öffentlichen Profil bestimmter Gruppen an. Es ist jedoch wahr, dass die nordkoreanischen Akteure in der Vergangenheit Gesundheits- und Bildungsziele mit anderen Instrumenten angegriffen haben, Kontext zum Vergleich hinzufügen; zum Beispiel über das Interesse bestimmter nordkoreanischer APT in Krankenhäusern und Universitäten können Sie eine Analyse über Kimsuky oder Kampagnen mit Maui ransomware konsultieren: Global Cyber Alliance - Kimsuky und der Bildungssektor und Ressourcen für die Bedrohung für Krankenhäuser.
Was sollten Sicherheitsteams über eine solche Bedrohung tun? Es gibt keine einzige Silberkugel, aber mehrere Praktiken helfen, die Risikooberfläche zu reduzieren und die Erkennung zu verbessern. Erstens, um die Bildung und Verteidigung gegen Phishing zu stärken, weil die beschriebene Kette von Angriff beginnt, höchstwahrscheinlich, mit Betrug an die Benutzer gerichtet. Zweitens, überwachen und analysieren ausgehende TLS und Auflösung von Namen mit Werkzeugen, die DoH inspizieren oder die Verwendung von kontrollierten Unternehmens-DNS-Auflösungen zwingen können; die Sichtbarkeit verschlüsselter Verbindungen ist der Schlüssel. Drittens, Überprüfung, die es den Richtlinien ermöglicht, die willkürliche Ausführung von Binaren zu verhindern und die Privilegien der Konten und Dienste, die DLs tragen können, zu begrenzen. Schließlich sollten EDR-Lösungen durch Kontrollen, die Anomalien im Speicherverhalten suchen, aktualisiert und ergänzt werden, nicht nur statische Signaturen.
Öffentliche und private Organisationen, die in Bildung und Gesundheit tätig sind, sollten diese Kampagne als eine klare Erinnerung daran nehmen, dass die Raffinesse der Angreifer weiter wächst: sie kombinieren Netzwerk-Ausweichungstechniken, Missbrauch der Infrastruktur von Drittanbietern und Methoden der Ausführung in Erinnerung bleiben so lange wie möglich versteckt. Cisco Talos bietet weitere technische Details zu den Indikatoren für Forschung und Engagement, die ein Notfall-Response-Team verwenden kann: Der technische Bericht von Talos über Dohdoor.
In einer Welt, in der Angreifer sowohl neue Protokollfähigkeiten als auch legitime Dienste nutzen, um ihren Verkehr zu maskieren, ist der Schlüssel für Organisationen, die Sichtbarkeit zu erhöhen, Kontrollen zu stärken und menschliches Training mit technischen Lösungen zu kombinieren, die in der Lage sind, höherschichtige Anomalien zu erkennen - nicht nur in DNS-Beratungen oder bekannten Signaturen. Die Bedrohung besteht nun; das Handeln vor dem nächsten Vorfall betrifft Patienten oder Studenten ist eine gemeinsame Verantwortung zwischen Administratoren, Sicherheitsanbietern und institutionellen Entscheidungsträgern.
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...
Gelbe Augen Der BitLocker Fehler, der es einem Angreifer ermöglichen könnte, Ihre Einheit mit nur physischem Zugriff zu entsperren
Microsoft hat eine Abschwächung für eine BitLocker Sicherheitslücke als bekannt als YellowKey (CVE-2026-45585) nachdem sein Konzepttest öffentlich ausgelaufen war und der koordi...