新的Dohdoor恶意软件，正在通过多阶段攻击链，疯狂攻击美国的学校和医疗行业

该威胁以“UAT-10027”行动者代号追踪，部署了一个此前未知的后门“Dohdoor”，该后门结合了先进的隐身技术和多阶段传输技术，能够持续进入受害者环境。

该恶意软件的出现表明，复杂的威胁行为者正将注意力转向处理敏感个人数据但通常安全资源有限的领域。

Dohdoor 的名称部分来源于其用于与命令控制（C2）服务器通信的 DNS-over-HTTPS（DoH）技术——一种将受信任的互联网协议转变为隐蔽通信通道的方法。

通过将C2流量路由到Cloudflare加密的DNS基础设施中，该恶意软件使出站通信看起来像普通HTTPS流量，融入日常网络活动中。

威胁行为者通过使用“MswInSofTUpDloAd”和“DEEPinSPeCTioNsyStEM”等子域名来模拟合法的软件更新请求或安全检查，进一步强化了这种欺骗。

非标准顶级域名中的不规则大写——例如“。OnLiNe，“。DeSigN“和”。SoFTWARe“——帮助竞选团队绕过自动字符串匹配过滤器和阻断名单防御。

Cisco Talos分析师识别出这场持续的行动，并将其归因于UAT-10027，指出该威胁行为者滥用合法的Windows可执行文件，即所谓的“离地生活二进制”（LOLBins），将Dohdoor恶意软件侧载到被攻破的系统中。

研究人员指出，该活动的基础设施经过精心设计以避免归因，C2服务器隐藏在Cloudflare全球可信的边缘网络背后，这使得流量拦截和阻断对防御者来说极为困难。

该活动最初通过Talos观察到的可疑下载遥测数据被发现，将其与教育和医疗领域更广泛的针对性入侵模式联系起来。

最初的入侵点被认为是通过钓鱼邮件，向受害者的机器发送PowerShell脚本。

执行后，该脚本会通过编码URL从远程临时服务器下载恶意的Windows批处理文件——文件或文件。curl.exe.bat.cmd

Attack chain (Source - Cisco Talos)
攻击链（来源 – Cisco Talos）
这触发了一个精心排序的感染过程，每个阶段为下一阶段铺平道路，最大限度地减少恶意软件在任何时间点的影响力。



多阶段感染机制内幕
批处理脚本——攻击链的第二阶段——既是投放器，也是清理工具。

它首先在 或 中创建一个隐藏的工作文件夹，然后从C2服务器下载恶意DLL，并将其伪装成听起来合法的名称，比如 C:\ProgramDataC:\Users\Publicpropsys.dllbatmeter.dll

Deobfuscated Windows batch loader script (C2 URLs defanged) (Source - Cisco Talos)
Deobfuscated Windows batch loader script （C2 URLs defanged） （Source – Cisco Talos）
合法的Windows可执行文件如、、和被复制到该工作文件夹中，并通过称为DLL侧载的技术侧载和执行恶意DLL。

恶意软件运行后，批处理脚本会通过删除注册表键中的运行命令历史、清除剪贴板数据并完全删除自身来清除自己的轨迹——这种策略被称为反取证清理。

Dohdoor 激活后，通过 HTTPS 443 端口发送加密 DNS 查询解析 C2 服务器的 IP 地址，接收 JSON 响应并解析提取 IP 数据。

然后它下载加密的有效载荷，通过带有位置依赖密码的自定义XOR-SUB算法解密，然后注入合法的Windows进程，如进程空心化。

为了规避终端检测与响应（EDR）工具，Dohdoor 会修补系统调用存根，有效移除安全产品依赖的监控钩子。

强烈建议教育和医疗行业的组织屏蔽可疑的LOLBin活动，监控异常HTTPS流量，并实施能够检测DoH流量的DNS安全控制。