Uma campanha maliciosa ativa desde pelo menos dezembro de 2023 está atacando os setores de educação e saúde nos Estados Unidos, segundo revelou a equipe de cibersegurança da Cisco Talos.
Trata-se de um conjunto de atividades até então desconhecidas, catalogadas sob o codinome UAT-10027.
O principal objetivo dessa operação é a implantação de um backdoor inédito, denominado Dohdoor.
De acordo com os pesquisadores Alex Karkins e Chetan Raghuprasad, em relatório técnico compartilhado, Dohdoor utiliza a técnica DNS-over-HTTPS (DoH) para suas comunicações de comando e controle (C2).
Além disso, a ameaça pode baixar e executar de forma reflexiva outros arquivos maliciosos, ampliando seu alcance e persistência no ambiente infectado.
Embora o vetor inicial de ataque ainda não tenha sido oficialmente identificado, acredita-se que a campanha utilize técnicas de phishing baseadas em engenharia social, levando à execução de um script PowerShell.
Esse script, por sua vez, baixa e executa um arquivo batch do Windows hospedado em um servidor remoto, que facilita o download de uma biblioteca dinâmica (DLL) maliciosa — nomeada como "propsys.dll" ou "batmeter.dll".
Dohdoor é acionado por meio da técnica DLL side-loading, que aproveita executáveis legítimos do Windows, como "Fondue.exe", "mblctr.exe" e "ScreenClippingHost.exe", para carregar a DLL maliciosa sem levantar suspeitas.
Com essa brecha, o backdoor carrega outro payload em memória, identificado como um Cobalt Strike Beacon, uma ferramenta avançada frequentemente usada em ataques sofisticados.
Para ocultar seu tráfego, os operadores escondem os servidores C2 atrás da infraestrutura da Cloudflare.
Isso faz com que todas as comunicações pareçam tráfego HTTPS legítimo, direcionado a um endereço IP confiável e global, dificultando a detecção por meio de DNS, sinkholes ou análises tradicionais de rede.
Além disso, Dohdoor desativa chamadas do sistema para evitar a identificação por soluções de endpoint detection and response (EDR) que monitoram chamadas da API do Windows por meio de hooks em user-mode no arquivo NTDLL.dll.
Ainda não há confirmação sobre a autoria dessa campanha, mas a Cisco Talos apontou semelhanças táticas entre Dohdoor e Lazarloader, um downloader utilizado pelo grupo norte-coreano Lazarus em ataques direcionados à Coreia do Sul.
Apesar disso, a escolha dos alvos — educação e saúde — foge do padrão usual do Lazarus, que costuma visar setores de criptomoedas e defesa.
Por outro lado, a Talos destaca que outros grupos APT da Coreia do Norte, como os responsáveis pelo ransomware Maui e o grupo Kimsuky, já realizaram ataques contra os setores de saúde e educação, respectivamente.
Isso sugere uma possível relação entre a campanha UAT-10027 e essas ameaças anteriores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...