Бэкдор замаскировали под обычный HTTPS — выглядит как YouTube, работает как слив данных
NewsMakerОтчёт Cisco Talos о новом бэкдоре под названием Dohdoor.
С конца 2025 года Cisco Talos отслеживает кампанию против организаций из образования и здравоохранения в США. Исследователи связывают активность с актором UAT-10027 и описывают новый бэкдор Dohdoor . Отличительная черта – управление через DoH DNS . Запросы DNS уходят не в обычный DNS-трафик, а внутри HTTPS по 443 порту, поэтому со стороны сеть видит привычные шифрованные соединения. Дополнительную маскировку даёт то, что часть обмена проходит через инфраструктуру Cloudflare.
Talos предполагает, что первое проникновение чаще всего начинается с фишинга и приёмов социальной инженерии. Дальше на заражённой машине запускается PowerShell -скрипт, который вызывает curl.exe с закодированным URL и скачивает с удалённого промежуточного сервера пакетный файл Windows с расширением .bat или .cmd. Закодированная ссылка усложняет быстрый разбор журналов и мешает простым фильтрам, которые ловят подозрительные адреса по строкам.
Пакетный файл готовит рабочую папку и запускает вредоносную DLL через подмену библиотек. Скрипт создаёт скрытый каталог в C:\ProgramData или C:\Users\Public, затем скачивает с C2 DLL по пути вида /111111?sub=d и сохраняет её под именем, похожим на системный файл, например propsys.dll или batmeter.dll. Следом в тот же каталог копируются легитимные исполняемые файлы Windows, Talos упоминает Fondue.exe, mblctr.exe и ScreenClippingHost.exe. Эти программы запускаются из рабочей папки с параметром, который указывает на C2-ресурс /111111?sub=s. При запуске легитимный файл подхватывает подложенную DLL через приём DLL sideloading и передаёт управление Dohdoor.
После запуска Dohdoor пакетный файл старается убрать явные следы. Скрипт удаляет историю команд окна Выполнить, очищая ключ реестра RunMRU, затем очищает буфер обмена и удаляет собственный файл. После такой уборки у расследования остаётся меньше очевидных артефактов на диске и в истории действий пользователя.
С конца 2025 года Cisco Talos отслеживает кампанию против организаций из образования и здравоохранения в США. Исследователи связывают активность с актором UAT-10027 и описывают новый бэкдор Dohdoor . Отличительная черта – управление через DoH DNS . Запросы DNS уходят не в обычный DNS-трафик, а внутри HTTPS по 443 порту, поэтому со стороны сеть видит привычные шифрованные соединения. Дополнительную маскировку даёт то, что часть обмена проходит через инфраструктуру Cloudflare.
Talos предполагает, что первое проникновение чаще всего начинается с фишинга и приёмов социальной инженерии. Дальше на заражённой машине запускается PowerShell -скрипт, который вызывает curl.exe с закодированным URL и скачивает с удалённого промежуточного сервера пакетный файл Windows с расширением .bat или .cmd. Закодированная ссылка усложняет быстрый разбор журналов и мешает простым фильтрам, которые ловят подозрительные адреса по строкам.
Пакетный файл готовит рабочую папку и запускает вредоносную DLL через подмену библиотек. Скрипт создаёт скрытый каталог в C:\ProgramData или C:\Users\Public, затем скачивает с C2 DLL по пути вида /111111?sub=d и сохраняет её под именем, похожим на системный файл, например propsys.dll или batmeter.dll. Следом в тот же каталог копируются легитимные исполняемые файлы Windows, Talos упоминает Fondue.exe, mblctr.exe и ScreenClippingHost.exe. Эти программы запускаются из рабочей папки с параметром, который указывает на C2-ресурс /111111?sub=s. При запуске легитимный файл подхватывает подложенную DLL через приём DLL sideloading и передаёт управление Dohdoor.
После запуска Dohdoor пакетный файл старается убрать явные следы. Скрипт удаляет историю команд окна Выполнить, очищая ключ реестра RunMRU, затем очищает буфер обмена и удаляет собственный файл. После такой уборки у расследования остаётся меньше очевидных артефактов на диске и в истории действий пользователя.