UAT-10027キャンペーン：米国の教育・医療セクターを標的とした新型Dohdoorバックドアの脅威

高度なサイバー諜報活動が米国の重要セクターを標的に

Cisco Talosは、これまで文書化されていなかった脅威活動クラスターUAT-10027が、2025年12月以降、米国の教育および医療セクターを継続的に攻撃していることを特定しました。このキャンペーンの主な目的は、DNS-over-HTTPS（DoH）を利用した新たに発見されたバックドアDohdoorの展開です。

Dohdoorバックドアの技術的詳細

Dohdoorバックドアは、脅威アクターの手法の大きな進化を示しており、DoHを活用することで従来のネットワーク監視や検知メカニズムを回避します。DoHはDNSクエリをHTTPSトラフィック内に暗号化するため、セキュリティチームが悪意のある通信を検査またはブロックすることが困難になります。Dohdoorの主な技術的特徴は以下の通りです：

• ステルスなC2通信：DNSリクエストを暗号化されたHTTPSトラフィックに埋め込むことで、Dohdoorは従来のDNSフィルタリングやログ解析ソリューションを回避します。
• 永続化メカニズム：このバックドアは、レジストリの変更やスケジュールタスクなど、複数の永続化手法を採用し、侵害されたシステムへのアクセスを維持します。
• モジュラー設計：初期分析によると、Dohdoorは追加のペイロードやプラグインをサポートする可能性があり、感染後の機能拡張が可能です。

報告時点では、Cisco Talosは完全な侵害指標（IoC）や詳細なフォレンジック成果物を公開していませんが、同社はこのバックドアの高度さと長期的な諜報活動の可能性を強調しています。

影響分析

教育および医療セクターを標的としていることから、このキャンペーンの潜在的な影響が懸念されます。これらのセクターは非常に機密性の高いデータを扱っているためです：

• データ流出リスク：脅威アクターは個人識別情報（PII）、医療記録、または知的財産を盗み出す可能性があり、規制上の罰則や評判の低下を招く恐れがあります。
• 業務妨害：侵害されたシステムは、ランサムウェアの展開やネットワーク内での横展開など、さらなる攻撃に悪用される可能性があります。
• 諜報活動の懸念：新型バックドアの使用は、国家支援や金銭的動機に基づく長期的な情報収集を目的としている可能性を示唆しています。

セキュリティチーム向けの推奨対策

Dohdoorのステルス性とDoHへの依存を考慮し、Cisco Talosは以下の緩和策を推奨しています：

1. DoHトラフィックの監視：暗号化されたDoHトラフィック内の異常なパターンや既知の悪意あるドメインを検出できるネットワーク監視ツールを導入します。
2. エンドポイント検出および対応（EDR）：不審なプロセス実行、レジストリ変更、スケジュールタスクの変更を検出するEDRソリューションを実装します。
3. DNSセキュリティ：ネットワークレベルでDoHを無効化するか、企業が管理するDNSリゾルバーの使用を強制し、不正なトンネリングを制限します。
4. 脅威インテリジェンスの共有：業界の同業者や脅威インテリジェンスプロバイダーと連携し、UAT-10027に関連する新たなIoCについて最新情報を入手します。
5. インシデント対応の準備：高度な脅威（例：Dohdoor）に対する迅速な封じ込めと根絶を確保するため、インシデント対応計画をレビューし、テストします。