Кампания UAT-10027 внедряет новую бэкдор-систему Dohdoor против образования и здравоохранения США

Масштабная кибершпионская кампания атакует критически важные секторы США

Компания Cisco Talos выявила ранее недокументированный кластер вредоносной активности, обозначенный как UAT-10027, который с декабря 2025 года ведёт непрерывную кампанию против секторов образования и здравоохранения США. Основная цель атаки — развёртывание Dohdoor, нового бэкдора, использующего DNS-over-HTTPS (DoH) для скрытой передачи команд и управления (C2).

Технические особенности бэкдора Dohdoor

Бэкдор Dohdoor представляет собой значительный прорыв в тактике киберпреступников, применяя DoH для обхода традиционных механизмов мониторинга и обнаружения сетевых угроз. Технология DoH шифрует DNS-запросы в рамках HTTPS-трафика, что затрудняет их анализ и блокировку специалистами по кибербезопасности. Ключевые технические характеристики Dohdoor включают:

• Скрытые C2-коммуникации: Встраивая DNS-запросы в зашифрованный HTTPS-трафик, Dohdoor обходит стандартные решения для фильтрации и логирования DNS.
• Механизмы персистентности: Бэкдор использует несколько методов поддержания доступа к скомпрометированным системам, включая модификацию реестра и создание запланированных задач.
• Модульная архитектура: Предварительный анализ указывает на возможность подгрузки дополнительных модулей или плагинов, что позволяет злоумышленникам расширять функциональность после заражения.

На момент публикации отчёта Cisco Talos не раскрыла полный перечень индикаторов компрометации (IoC) или детальных артефактов для анализа, однако подчеркнула высокую степень сложности бэкдора и его потенциал для долгосрочного шпионажа.

Анализ последствий атаки

Нацеленность на секторы образования и здравоохранения, работающие с конфиденциальными данными, вызывает серьёзные опасения относительно возможных последствий кампании:

• Риски утечки данных: Злоумышленники могут похищать персональные данные (PII), медицинские записи или интеллектуальную собственность, что грозит регуляторными санкциями и репутационными потерями.
• Нарушение рабочих процессов: Скомпрометированные системы могут быть использованы для дальнейших атак, таких как развёртывание программ-вымогателей или горизонтальное перемещение по сети.
• Шпионские угрозы: Применение нового бэкдора указывает на стремление к долгосрочному сбору разведданных, что может свидетельствовать о причастности государственных или финансово мотивированных субъектов.

Рекомендации для специалистов по кибербезопасности

Учитывая скрытный характер Dohdoor и его зависимость от DoH, Cisco Talos предлагает следующие меры защиты:

1. Мониторинг DoH-трафика: Разверните инструменты сетевого мониторинга, способные анализировать зашифрованный DoH-трафик на предмет аномальных паттернов или известных вредоносных доменов.
2. Решения EDR (Endpoint Detection and Response): Внедрите системы обнаружения и реагирования на конечных точках для выявления необычной активности процессов, изменений в реестре или модификаций запланированных задач.
3. Безопасность DNS: Рассмотрите возможность отключения DoH на уровне сети или принудительного использования корпоративных DNS-резолверов для ограничения несанкционированного туннелирования.
4. Обмен угроз-разведкой: Сотрудничайте с коллегами по отрасли и поставщиками разведданных об угрозах для своевременного обновления информации об IoC, связанных с UAT-10027.
5. Готовность к реагированию на инциденты: Проверьте и протестируйте планы реагирования на инциденты, чтобы обеспечить быстрое локализование и устранение продвинутых угроз, таких как Dohdoor.