新しいバックドア型マルウェア「Dohdoor」が、米国の教育機関や医療組織を標的にし、巧妙な多段階攻撃チェーンを通じて攻撃を行っていることが判明しました。
Dohdoor の概要
このマルウェアは、Cisco Talos によって UAT-10027 と呼ばれるキャンペーンとして追跡されており、少なくとも 2025 年 12 月から継続的に活動しています。Dohdoor の主な目的は、標的組織に対して持続的なバックドアアクセスを確立し、その後に追加のペイロードを配布することです。
攻撃手法
Dohdoor は、DNS-over-HTTPS (DoH) を使用してコマンド&コントロール (C&C) トラフィックを隠すとともに、信頼できるクラウドインフラストラクチャを利用して攻撃を行います。このマルウェアの初期アクセスは、ソーシャルエンジニアリングを通じて行われることが多いとされています。
攻撃チェーン
攻撃者は通常、フィッシングメールを介して PowerShell スクリプトを配布し、これがダウンローダーとして機能します。このスクリプトは、curl.exe を使用して遠隔のステージングサーバから悪意のあるバッチスクリプト(.bat または .cmd 拡張子)を取得します。
次に、ダウンロードされた Windows バッチスクリプトが作業ディレクトリを作成し、C2 サーバから悪意のある DLL をダウンロードして、正当な Windows DLL と同様の名前に変更します。その後、信頼できる Windows のバイナリをコピーし、これらの実行ファイルを通じて悪意のある DLL をサイドロードします。
Dohdoor の特徴
最も注目すべき機能は、DNS-over-HTTPS (DoH) を使用して C&C インフラを解決し、通常の Web トラフィックに紛れ込むことです。このマルウェアは Cloudflare の DoH サービスを使用して HTTPS リクエストを作成し、JSON 形式で応答を解析します。
攻撃者による防御手段への対策
Dohdoor は、Windows API 関数の動的解決と ntdll.dll のユーザー モード ホッキング回避機能を使用して、EDR(Endpoint Detection and Response)システムからの検出を避けることができます。
対策
Cisco は ClamAV シグネチャと Snort ルールを提供し、Dohdoor のローダー コンポーネントや関連のネットワーク活動を検出するためのツールを企業環境で使用できます。