UAT-10027攻击行动针对美国教育与医疗领域部署新型Dohdoor后门

高级网络间谍活动瞄准美国关键行业

思科Talos（Cisco Talos）近期发现一起此前未被记录的威胁活动集群，代号UAT-10027，自2025年12月以来持续针对美国教育和医疗行业发起恶意攻击行动。该行动的主要目标是部署Dohdoor，一种新发现的后门程序，利用**DNS-over-HTTPS（DoH）**技术实现隐蔽的命令与控制（C2）通信。

Dohdoor后门的技术细节

Dohdoor后门代表了威胁行为者技术手段的重大演进，通过DoH技术规避传统网络监控与检测机制。DoH将DNS查询请求加密于HTTPS流量中，使安全团队难以检查或阻断恶意通信。Dohdoor的主要技术特征包括：

• 隐蔽的C2通信：通过将DNS请求嵌入加密HTTPS流量，Dohdoor能够绕过常规DNS过滤和日志记录解决方案。
• 持久化机制：该后门采用多种持久化技术，包括注册表修改和计划任务，以维持对受感染系统的访问权限。
• 模块化设计：初步分析表明，Dohdoor可能支持额外的有效载荷或插件，使威胁行为者能够在感染后扩展功能。

截至报告发布时，思科Talos尚未公布完整的技术入侵指标（IoCs）或详细取证工件，但强调该后门的复杂性及其长期间谍活动的潜在威胁。

影响分析

此次攻击行动针对教育和医疗行业——两者均处理高度敏感数据——引发了对其潜在影响的担忧：

• 数据泄露风险：威胁行为者可能窃取个人身份信息（PII）、医疗记录或知识产权，导致监管处罚和声誉损害。
• 运营中断：受感染系统可能被用于进一步攻击，如部署勒索软件或在网络内横向移动。
• 间谍活动隐患：新型后门的使用表明攻击者专注于长期情报收集，可能由国家支持或出于经济动机。

安全团队建议

鉴于Dohdoor的隐蔽性及其对DoH的依赖，思科Talos提出以下缓解建议：

1. 监控DoH流量：部署能够检查加密DoH流量中异常模式或已知恶意域名的网络监控工具。
2. 终端检测与响应（EDR）：实施EDR解决方案，检测异常进程执行、注册表变更或计划任务修改。
3. DNS安全：考虑在网络层面禁用DoH，或强制使用企业控制的DNS解析器，以限制未经授权的隧道通信。
4. 威胁情报共享：与行业同行及威胁情报提供商合作，及时获取与UAT-10027相关的新兴IoCs。
5. 事件响应准备：审查并测试事件响应计划，确保能够快速遏制并清除如Dohdoor等高级威胁。