VOLTAR ÀS NOTÍCIAS
Última Hora

Campanha UAT-10027 Implementa o Novo Backdoor Dohdoor em Setores Críticos dos EUA

3 min de leituraFonte: The Hacker News

Cisco Talos identifica campanha sofisticada de ciberespionagem visando educação e saúde nos EUA com o backdoor Dohdoor, que usa DNS-over-HTTPS para comunicações ocultas.

Campanha Sofisticada de Ciberespionagem Atinge Setores Críticos dos EUA

A Cisco Talos identificou um cluster de atividades maliciosas anteriormente não documentado, rastreado como UAT-10027, conduzindo uma campanha em andamento contra os setores de educação e saúde dos EUA desde pelo menos dezembro de 2025. O principal objetivo da campanha é a implantação do Dohdoor, um backdoor recém-descoberto que utiliza DNS-over-HTTPS (DoH) para comunicações ocultas de comando e controle (C2).

Detalhes Técnicos do Backdoor Dohdoor

O backdoor Dohdoor representa uma evolução significativa no modus operandi de atores de ameaças, utilizando DoH para evadir mecanismos tradicionais de monitoramento e detecção de rede. O DoH criptografa consultas DNS dentro do tráfego HTTPS, tornando desafiador para as equipes de segurança inspecionar ou bloquear comunicações maliciosas. As principais características técnicas do Dohdoor incluem:

  • Comunicações C2 Furtivas: Ao embutir solicitações DNS dentro de tráfego HTTPS criptografado, o Dohdoor contorna soluções convencionais de filtragem e registro de DNS.
  • Mecanismos de Persistência: O backdoor emprega múltiplas técnicas de persistência, incluindo modificações no registro e tarefas agendadas, para manter o acesso a sistemas comprometidos.
  • Design Modular: Análises iniciais sugerem que o Dohdoor pode suportar cargas adicionais ou plugins, permitindo que os atores de ameaças expandam funcionalidades após a infecção.

Até o momento do relatório, a Cisco Talos não divulgou indicadores completos de comprometimento (IoCs) ou artefatos forenses detalhados, mas a empresa enfatiza a sofisticação do backdoor e seu potencial para espionagem de longo prazo.

Análise de Impacto

O direcionamento aos setores de educação e saúde — ambos responsáveis por dados altamente sensíveis — levanta preocupações sobre o impacto potencial da campanha:

  • Riscos de Exfiltração de Dados: Atores de ameaças podem roubar informações de identificação pessoal (PII), registros médicos ou propriedade intelectual, resultando em penalidades regulatórias e danos à reputação.
  • Disrupção Operacional: Sistemas comprometidos podem ser utilizados para ataques adicionais, como implantação de ransomware ou movimentação lateral dentro das redes.
  • Preocupações com Espionagem: O uso de um backdoor inédito sugere um foco na coleta de inteligência de longo prazo, potencialmente por atores patrocinados por Estados ou motivados financeiramente.

Recomendações para Equipes de Segurança

Dada a natureza furtiva do Dohdoor e sua dependência do DoH, a Cisco Talos recomenda as seguintes medidas de mitigação:

  1. Monitorar Tráfego DoH: Implementar ferramentas de monitoramento de rede capazes de inspecionar tráfego DoH criptografado em busca de padrões anômalos ou domínios maliciosos conhecidos.
  2. Detecção e Resposta em Endpoints (EDR): Adotar soluções EDR para detectar execuções de processos incomuns, alterações no registro ou modificações em tarefas agendadas.
  3. Segurança DNS: Considerar desabilitar o DoH no nível da rede ou impor o uso de resolvedores DNS controlados pela empresa para limitar tunelamento não autorizado.
  4. Compartilhamento de Inteligência de Ameaças: Colaborar com pares do setor e provedores de inteligência de ameaças para se manter atualizado sobre IoCs emergentes associados à UAT-10027.
  5. Preparação para Resposta a Incidentes: Revisar e testar planos de resposta a incidentes para garantir contenção e erradicação rápidas de ameaças avançadas como o Dohdoor.

Compartilhar

TwitterLinkedIn