Издание The Hacker News в своей публикации «UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor» раскрыло технические детали масштабной киберкампании, направленной против Соединенных Штатов (США). Исследователи безопасности Алекс Каркинс и Четан Рагхупрасад из компании Cisco Talos обнаружили ранее незадокументированную хакерскую группировку, получившую идентификатор UAT-10027. Начиная как минимум с декабря 2025 года, злоумышленники целенаправленно атакуют американские учреждения образования и здравоохранения. Анализ операционной деятельности указывает на то, что кампания имеет финансовую мотивацию, однако на данный момент фактических доказательств кражи или утечки данных не зафиксировано.
Выбор жертв группировкой UAT-10027 носит точечный, но стратегический характер. В секторе здравоохранения под удар попало как минимум одно медицинское учреждение — специализированный центр по уходу за пожилыми людьми. В сфере образования атакам подверглись сразу несколько учебных заведений. Особое внимание исследователей привлек скомпрометированный университет, имеющий широкую сетевую интеграцию с множеством других образовательных организаций, что указывает на попытку хакеров максимально расширить потенциальную поверхность атаки через доверенные узлы.
Техническая цепочка атаки представляет собой сложный многоступенчатый процесс, использующий легитимные инструменты для сокрытия активности. Вектор первичного проникновения (Initial Access) пока точно не установлен, но эксперты предполагают использование методов социальной инженерии, в частности фишинга. Успешное проникновение приводит к запуску вредоносного скрипта PowerShell (PowerShell script), который связывается с удаленным сервером для загрузки и выполнения пакетного файла операционной системы (Windows batch script). Этот командный файл инициирует загрузку вредоносной динамически подключаемой библиотеки (Windows dynamic-link library, DLL).
Для скрытой активации вредоносного кода хакеры применяют технику параллельной загрузки библиотек (DLL side-loading). На этой стадии злоумышленники используют легитимные исполняемые файлы Windows, такие как
Выполнение подмененных библиотек приводит к развертыванию абсолютно нового, ранее не встречавшегося бэкдора, получившего название Dohdoor. Этот инструмент создает скрытый канал доступа к скомпрометированной системе и напрямую скачивает полезную нагрузку следующего этапа прямо в оперативную память жертвы. Данная нагрузка выполняется рефлексивно (Reflective execution), что позволяет избежать сохранения файлов на жестком диске. Конечным результатом работы бэкдора является внедрение инструмента Cobalt Strike Beacon, обеспечивающего хакерам постоянный удаленный контроль.
Группировка UAT-10027 применяет высокотехнологичные методы для обхода сетевых мониторов. Для связи с командно-контрольным центром (Command-and-Control, C2) используется протокол DNS-over-HTTPS (DoH), а сами серверы злоумышленников физически скрыты за инфраструктурой провайдера Cloudflare. Исходящий трафик выглядит как легитимное HTTPS-соединение с доверенными глобальными IP-адресами, что позволяет успешно обходить системы обнаружения на базе DNS, технологии перехвата DNS sinkholes и инструменты анализа сетевого трафика (Network traffic analysis tools).
Помимо сетевой маскировки, бэкдор Dohdoor оснащен механизмами уклонения от систем класса Endpoint Detection and Response (EDR) на конечных точках. Вредоносная программа осуществляет снятие перехватов системных вызовов (System call unhooking) в системном файле
Точная атрибуция кампании UAT-10027 на данный момент не установлена, однако исследователи выявили значительные тактические пересечения с методами работы северокорейских Advanced Persistent Threat (APT) группировок. Архитектура бэкдора Dohdoor имеет явное сходство с инструментом LazarLoader, который ранее использовался хакерской группой Lazarus Group (Северная Корея) для атак на Южную Корею (South Korea). Несмотря на техническое сходство, существует расхождение в профиле целей: традиционными мишенями Lazarus являются криптовалютные платформы и оборонный сектор.
Выбор американских образовательных и медицинских учреждений полностью соответствует историческому профилю других северокорейских киберопераций. В прошлом государственные хакеры из КНДР уже атаковали сектор здравоохранения с использованием программы-вымогателя Maui ransomware. Параллельно с этим, другая северокорейская APT-группировка, Kimsuky, неоднократно проводила успешные целевые атаки на образовательный сектор, что подтверждает общую тенденцию интеграции подобных целей в сферу интересов киберпреступников из данного региона.
Изображение носит иллюстративный характер
Выбор жертв группировкой UAT-10027 носит точечный, но стратегический характер. В секторе здравоохранения под удар попало как минимум одно медицинское учреждение — специализированный центр по уходу за пожилыми людьми. В сфере образования атакам подверглись сразу несколько учебных заведений. Особое внимание исследователей привлек скомпрометированный университет, имеющий широкую сетевую интеграцию с множеством других образовательных организаций, что указывает на попытку хакеров максимально расширить потенциальную поверхность атаки через доверенные узлы.
Техническая цепочка атаки представляет собой сложный многоступенчатый процесс, использующий легитимные инструменты для сокрытия активности. Вектор первичного проникновения (Initial Access) пока точно не установлен, но эксперты предполагают использование методов социальной инженерии, в частности фишинга. Успешное проникновение приводит к запуску вредоносного скрипта PowerShell (PowerShell script), который связывается с удаленным сервером для загрузки и выполнения пакетного файла операционной системы (Windows batch script). Этот командный файл инициирует загрузку вредоносной динамически подключаемой библиотеки (Windows dynamic-link library, DLL).
Для скрытой активации вредоносного кода хакеры применяют технику параллельной загрузки библиотек (DLL side-loading). На этой стадии злоумышленники используют легитимные исполняемые файлы Windows, такие как
Fondue.exe, mblctr.exe и ScreenClippingHost.exe. Манипулируя этими системными процессами, атакующие заставляют их загрузить вредоносные библиотеки propsys.dll и batmeter.dll, тем самым маскируя работу вредоносного программного обеспечения под стандартную активность операционной системы. Выполнение подмененных библиотек приводит к развертыванию абсолютно нового, ранее не встречавшегося бэкдора, получившего название Dohdoor. Этот инструмент создает скрытый канал доступа к скомпрометированной системе и напрямую скачивает полезную нагрузку следующего этапа прямо в оперативную память жертвы. Данная нагрузка выполняется рефлексивно (Reflective execution), что позволяет избежать сохранения файлов на жестком диске. Конечным результатом работы бэкдора является внедрение инструмента Cobalt Strike Beacon, обеспечивающего хакерам постоянный удаленный контроль.
Группировка UAT-10027 применяет высокотехнологичные методы для обхода сетевых мониторов. Для связи с командно-контрольным центром (Command-and-Control, C2) используется протокол DNS-over-HTTPS (DoH), а сами серверы злоумышленников физически скрыты за инфраструктурой провайдера Cloudflare. Исходящий трафик выглядит как легитимное HTTPS-соединение с доверенными глобальными IP-адресами, что позволяет успешно обходить системы обнаружения на базе DNS, технологии перехвата DNS sinkholes и инструменты анализа сетевого трафика (Network traffic analysis tools).
Помимо сетевой маскировки, бэкдор Dohdoor оснащен механизмами уклонения от систем класса Endpoint Detection and Response (EDR) на конечных точках. Вредоносная программа осуществляет снятие перехватов системных вызовов (System call unhooking) в системном файле
NTDLL.dll. Эта операция позволяет бэкдору беспрепятственно выполнять вызовы Windows API (Windows API calls), обходя контроль пользовательского режима (user-mode hooks), который обычно используется защитными решениями для мониторинга подозрительного поведения. Точная атрибуция кампании UAT-10027 на данный момент не установлена, однако исследователи выявили значительные тактические пересечения с методами работы северокорейских Advanced Persistent Threat (APT) группировок. Архитектура бэкдора Dohdoor имеет явное сходство с инструментом LazarLoader, который ранее использовался хакерской группой Lazarus Group (Северная Корея) для атак на Южную Корею (South Korea). Несмотря на техническое сходство, существует расхождение в профиле целей: традиционными мишенями Lazarus являются криптовалютные платформы и оборонный сектор.
Выбор американских образовательных и медицинских учреждений полностью соответствует историческому профилю других северокорейских киберопераций. В прошлом государственные хакеры из КНДР уже атаковали сектор здравоохранения с использованием программы-вымогателя Maui ransomware. Параллельно с этим, другая северокорейская APT-группировка, Kimsuky, неоднократно проводила успешные целевые атаки на образовательный сектор, что подтверждает общую тенденцию интеграции подобных целей в сферу интересов киберпреступников из данного региона.
