كشفت حملة برمجيات خبيثة جديدة عن استهدافها للمؤسسات التعليمية والرعاية الصحية في الولايات المتحدة منذ ديسمبر 2025 على الأقل، باستخدام برمجية خبيثة من نوع “باب خلفي” جديدة أطلق عليها اسم “Dohdoor”.
تستخدم هذه البرمجية الخبيثة تقنيات متقدمة ومتعددة المراحل للتسلل إلى شبكات الضحايا، مما يمنح المهاجمين وصولاً مستمراً. يشير ظهور “Dohdoor” إلى تزايد تركيز المهاجمين السيبرانيين على القطاعات التي تتعامل مع بيانات حساسة وغالباً ما تمتلك موارد أمنية محدودة.
برمجية Dohdoor الخبيثة: تقنيات متطورة للتخفي والتواصل
تستمد برمجية “Dohdoor” اسمها جزئياً من تقنية DNS-over-HTTPS (DoH) التي تستخدمها للتواصل مع خوادم القيادة والتحكم (C2). حولت هذه التقنية بروتوكول الإنترنت الموثوق إلى قناة اتصال خفية.
عن طريق توجيه حركة مرور C2 عبر البنية التحتية لخادم DoH المشفرة من Cloudflare، تبدو اتصالات الخروج وكأنها حركة مرور HTTPS عادية، مما يسهل عليها الاندماج في النشاط الشبكي اليومي.
يعزز المهاجم هذا التمويه باستخدام أسماء نطاقات فرعية مثل “MswInSofTUpDloAd” و “DEEPinSPeCTioNsyStEM” لمحاكاة طلبات تحديث البرامج الشرعية أو فحوصات الأمان.
تساعد الأحرف غير المنتظمة عبر نطاقات المستوى الأعلى غير القياسية، مثل “.OnLiNe”، “.DeSigN”، و “.SoFTWARe”، الحملة على تجاوز فلاتر مطابقة السلاسل النصية الآلية والدفاعات القائمة على قوائم الحظر.
حملة UAT-10027: هجوم متعدد المراحل
حدد محللو Cisco Talos الحملة المستمرة ونسبوها إلى الجهة المسماة “UAT-10027”. وأشاروا إلى أن الجهة الفاعلة تستغل ملفات تنفيذية شرعية لنظام ويندوز، والمعروفة باسم “living-off-the-land binaries” (LOLBins)، لتحميل برمجية Dohdoor الخبيثة على الأنظمة المخترقة.
صممت البنية التحتية للحملة بعناية لتجنب التعقب، مع إخفاء خوادم C2 خلف شبكة Cloudflare الموثوقة عالمياً، مما يجعل اعتراض حركة المرور وحظرها أكثر صعوبة على المدافعين.
تم اكتشاف الحملة لأول مرة من خلال بيانات تتبع التحميل المشبوهة التي لاحظتها Talos، مما ربطها بنمط أوسع من الاختراقات المستهدفة في قطاعي التعليم والرعاية الصحية.
الاستعانة بملفات PowerShell و Curl
يُعتقد أن نقطة الدخول الأولية تتضمن رسائل بريد إلكتروني تصيدية (phishing) تصل إلى جهاز الضحية، وتحتوي على سكربت PowerShell.
بمجرد تنفيذه، يستخدم هذا السكربت أداة `curl.exe` مع عنوان URL مشفر لتنزيل ملف دفعي خبيث (Windows batch file) – إما ملف `.bat` أو `.cmd` – من خادم خارجي.
مرحلة الإسقاط والتنظيف
يعمل السكربت الدفعي، وهو المرحلة الثانية في سلسلة الهجوم، كأداة إسقاط (dropper) وأداة تنظيف. يقوم أولاً بإنشاء مجلد عمل مخفي في `C:ProgramData` أو `C:UsersPublic`.
بعد ذلك، يقوم بتنزيل ملف DLL خبيث من خادم C2، مع تسميته بأسماء تبدو شرعية مثل `propsys.dll` أو `batmeter.dll`.
يتم بعد ذلك نسخ ملفات تنفيذية شرعية لنظام ويندوز مثل `Fondue.exe`، `mblctr.exe`، و `ScreenClippingHost.exe` إلى مجلد العمل هذا، واستخدامها لتحميل وتنفيذ ملف DLL الخبيث من خلال تقنية تُعرف باسم “DLL sideloading”.
بعد تشغيل البرمجية الخبيثة، تقوم السكربت الدفعي بإزالة آثاره عن طريق حذف سجل أمر التشغيل من مفتاح التسجيل `RunMRU`، ومسح بيانات الحافظة، وحذف نفسه تمامًا، وهي تكتيك يُعرف بتنظيف الآثار الجنائية (anti-forensic cleanup).
آلية عمل Dohdoor والخادم C2
بمجرد تنشيط “Dohdoor”، تقوم بحل عنوان IP لخادم C2 باستخدام استعلامات DNS مشفرة يتم إرسالها عبر منفذ HTTPS 443، وتتلقى استجابات JSON تقوم بتحليلها لاستخراج بيانات IP.
ثم تقوم بتنزيل حمولة مشفرة، يتم فك تشفيرها باستخدام خوارزمية XOR-SUB مخصصة مع مفتاح يعتمد على الموضع، قبل حقنها في عمليات ويندوز شرعية مثل `OpenWith.exe` و `wab.exe` من خلال تقنية “process hollowing”.
لتجنب أدوات اكتشاف الاستجابة المستندة إلى نقطة النهاية (EDR)، تقوم “Dohdoor” بتصحيح استدعاءات النظام (syscalls) في `ntdll.dll`، مما يزيل فعليًا خطافات المراقبة التي تعتمد عليها المنتجات الأمنية.
تشير الأدلة إلى أن الحمولة النهائية من المرجح أن تكون Cobalt Strike Beacon، بناءً على مطابقة توقيعات JA3S hash الموجودة في بنية C2.
التحذيرات والتوصيات
تقيّم Talos باحتمالية ضعيفة أن الجهة “UAT-10027” قد تكون مرتبطة بمجموعة Lazarus الكورية الشمالية، مستشهدة بتقنيات فك تشفير متداخلة، وطرق إزالة خطافات NTDLL، وأنماط تسمية النطاقات.
ينصح بشدة المؤسسات في قطاعي التعليم والرعاية الصحية بحظر نشاط LOLBin المشبوه، ومراقبة حركة مرور HTTPS الشاذة، وتنفيذ ضوابط أمن DNS قادرة على فحص حركة مرور DoH.