UAT-10027-Kampagne setzt neuartigen Dohdoor-Backdoor gegen US-Bildungs- und Gesundheitssektor ein

Hochentwickelte Cyberspionage-Kampagne zielt auf kritische US-Sektoren ab

Cisco Talos hat einen bisher undokumentierten Bedrohungsaktivitätscluster identifiziert, der unter der Bezeichnung UAT-10027 geführt wird und seit mindestens Dezember 2025 eine laufende bösartige Kampagne gegen den US-Bildungs- und Gesundheitssektor durchführt. Das primäre Ziel der Kampagne ist die Bereitstellung von Dohdoor, einem neu entdeckten Backdoor, der DNS-over-HTTPS (DoH) für verdeckte Command-and-Control (C2)-Kommunikation nutzt.

Technische Details des Dohdoor-Backdoors

Der Dohdoor-Backdoor stellt eine signifikante Weiterentwicklung in der Vorgehensweise von Bedrohungsakteuren dar, indem er DoH nutzt, um traditionelle Netzwerküberwachungs- und Erkennungsmechanismen zu umgehen. DoH verschlüsselt DNS-Anfragen innerhalb von HTTPS-Verkehr, was es Sicherheitsteams erschwert, bösartige Kommunikation zu inspizieren oder zu blockieren. Zu den wichtigsten technischen Merkmalen von Dohdoor gehören:

• Verdeckte C2-Kommunikation: Durch das Einbetten von DNS-Anfragen in verschlüsselten HTTPS-Verkehr umgeht Dohdoor herkömmliche DNS-Filter- und Protokollierungslösungen.
• Persistenzmechanismen: Der Backdoor verwendet mehrere Persistenztechniken, darunter Registry-Modifikationen und geplante Aufgaben, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
• Modulares Design: Erste Analysen deuten darauf hin, dass Dohdoor zusätzliche Payloads oder Plugins unterstützen könnte, die es Bedrohungsakteuren ermöglichen, die Funktionalität nach der Infektion zu erweitern.

Zum Zeitpunkt der Berichterstattung hat Cisco Talos keine vollständigen technischen Indikatoren für Kompromittierungen (IoCs) oder detaillierte forensische Artefakte veröffentlicht, betont jedoch die Raffinesse des Backdoors und sein Potenzial für langfristige Spionage.

Auswirkungenanalyse

Die gezielte Auswahl des Bildungs- und Gesundheitssektors – beide verwalten hochsensible Daten – wirft Bedenken hinsichtlich der möglichen Auswirkungen der Kampagne auf:

• Risiko der Datenexfiltration: Bedrohungsakteure könnten personenbezogene Daten (PII), medizinische Unterlagen oder geistiges Eigentum stehlen, was zu regulatorischen Strafen und Reputationsschäden führen kann.
• Betriebliche Unterbrechungen: Kompromittierte Systeme könnten für weitere Angriffe genutzt werden, wie z. B. die Bereitstellung von Ransomware oder laterale Bewegungen innerhalb von Netzwerken.
• Spionagebedenken: Die Verwendung eines neuartigen Backdoors deutet auf einen Fokus auf langfristige Informationsbeschaffung hin, möglicherweise für staatlich unterstützte oder finanziell motivierte Akteure.

Empfehlungen für Sicherheitsteams

Angesichts der heimlichen Natur von Dohdoor und seiner Abhängigkeit von DoH empfiehlt Cisco Talos folgende Maßnahmen zur Risikominderung:

1. DoH-Verkehr überwachen: Einsatz von Netzwerküberwachungstools, die verschlüsselten DoH-Verkehr auf anomale Muster oder bekannte bösartige Domänen analysieren können.
2. Endpoint Detection and Response (EDR): Implementierung von EDR-Lösungen zur Erkennung ungewöhnlicher Prozessausführungen, Registry-Änderungen oder Modifikationen geplanter Aufgaben.
3. DNS-Sicherheit: Deaktivierung von DoH auf Netzwerkebene in Betracht ziehen oder die Nutzung unternehmensgesteuerter DNS-Resolver erzwingen, um unautorisiertes Tunneling zu begrenzen.
4. Austausch von Bedrohungsinformationen: Zusammenarbeit mit Branchenkollegen und Anbietern von Bedrohungsinformationen, um über neue IoCs im Zusammenhang mit UAT-10027 auf dem Laufenden zu bleiben.
5. Vorbereitung auf Incident Response: Überprüfung und Testen von Incident-Response-Plänen, um eine schnelle Eindämmung und Beseitigung fortschrittlicher Bedrohungen wie Dohdoor zu gewährleisten.