Zašto su obrazovne i zdravstvene organizacije meta Dohdoora

· Sanja Ledinek

Hacker in dark neon lit underground HQ coding malware

Novi backdoor zlonamjerni softver Dohdoor aktivno cilja obrazovne i zdravstvene ustanove u Sjedinjenim Državama kroz sofisticirani višestupanjski lanac napada, a prema analizi tvrtke Cisco Talos operacija označena kao UAT-10027 traje najmanje od prosinca 2025 godine. Razlog zbog kojeg su škole, sveučilišta i bolnice privlačne mete leži u kombinaciji triju ključnih faktora, a to su osjetljivi podaci, ograničeni sigurnosni resursi i kompleksna, često zastarjela infrastruktura.

Obrazovne institucije upravljaju velikim količinama osobnih podataka studenata i zaposlenika, uključujući identifikacijske podatke, financijske informacije i istraživačke projekte, dok zdravstvene ustanove raspolažu medicinskim kartonima, dijagnostičkim nalazima i podacima o osiguranju koji na crnom tržištu postižu visoku vrijednost. Istodobno, mnoge od tih organizacija imaju ograničene proračune za kibernetičku sigurnost, koriste starije sustave i decentralizirane mreže te često nemaju dovoljno stručnjaka za kontinuirani nadzor prijetnji, što ih čini pogodnim ciljem za napadače koji traže dugoročan i tih pristup.

Kako funkcionira napad

Napad započinje phishing porukama e-pošte koje pokreću PowerShell skriptu, a ona zatim preuzima dodatne komponente pomoću šifriranih URL adresa i alata poput curl.exe. U sljedećoj fazi Windows batch skripte stvaraju skrivene direktorije unutar sustava te preuzimaju i maskiraju zlonamjerne DLL datoteke pod nazivima koji nalikuju legitimnim Windows komponentama. Nakon implementacije Dohdoor održava trajni pristup sustavu i učitava dodatni payload izravno u memoriju, a analitičari sumnjaju da se često koristi Cobalt Strike Beacon za dubinsku infiltraciju i lateralno kretanje unutar mreže. Posebno zabrinjava činjenica da Dohdoor koristi DNS over HTTPS mehanizam za prikrivanje komunikacije s kontrolnim poslužiteljima, pri čemu šifrira DNS upite i šalje ih putem HTTPS prometa na portu 443, čime otežava detekciju klasičnim sigurnosnim alatima. Infrastruktura za upravljanje i kontrolu skriva se iza Cloudflare mreže i koristi zbunjujuće nazive domena s izmjeničnim velikim i malim slovima kako bi zaobišla jednostavne filtre temeljene na uzorcima znakova.

Tehnike izbjegavanja detekcije

Dohdoor implementira napredne tehnike izbjegavanja EDR rješenja, uključujući dinamičko razrješavanje Windows API funkcija putem hash vrijednosti i izravno patchiranje sistemskih poziva kako bi se zaobišli korisnički hookovi. Payload je zaštićen prilagođenim mehanizmom dekodiranja, a koristi i SIMD instrukcije za bržu obradu podataka, što pokazuje visoku razinu tehničke sofisticiranosti. Talos je primijetio sličnosti s Lazarloaderom, što otvara mogućnost povezanosti s grupom Lazarus Group, iako ta poveznica zasad nije potvrđena s visokom sigurnošću.

Zašto dugoročni pristup

Primarni cilj nije brza krađa podataka nego uspostavljanje trajnog stražnjeg pristupa, što napadačima omogućuje postupno širenje po mreži, prikupljanje osjetljivih informacija ili pripremu za naknadne operacije poput ransomware napada. Za obrazovne i zdravstvene ustanove to znači potencijalne prekide rada, gubitak povjerenja korisnika, regulatorne kazne i financijsku štetu. Zbog toga sigurnosni stručnjaci preporučuju jačanje segmentacije mreže, redovito ažuriranje sustava, implementaciju naprednih EDR rješenja i kontinuiranu edukaciju zaposlenika o phishing prijetnjama. Dohdoor pokazuje da napadači sve češće ciljaju sektore koji su društveno ključni, ali tehnički ranjivi, jer kombinacija vrijednih podataka i slabije obrane predstavlja idealnu priliku za dugotrajnu i prikrivenu infiltraciju.

DRUGE NOVOSTI