一个此前未被记录的威胁活动组织自2025年12月以来一直在针对美国教育和医疗保健部门进行恶意攻击活动。
思科Talos将这一攻击活动命名为UAT-10027。攻击的最终目标是部署一个前所未见的后门程序Dohdoor。
"Dohdoor利用DNS-over-HTTPS(DoH)技术进行命令控制通信,并具备下载和反射执行其他载荷二进制文件的能力,"安全研究员Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技术报告中表示。
尽管该攻击活动的初始访问途径目前尚不清楚,但疑似涉及使用社会工程钓鱼技术,导致PowerShell脚本的执行。
该脚本随后从远程暂存服务器下载并运行Windows批处理脚本,进而促进下载名为"propsys.dll"或"batmeter.dll"的恶意Windows动态链接库(DLL)。
DLL载荷(即Dohdoor)通过合法的Windows可执行文件(如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe")使用DLL侧加载技术启动。植入程序创建的后门访问被用于直接将下一阶段载荷检索到受害者内存中并执行。该载荷被评估为Cobalt Strike Beacon。
"威胁行为者将命令控制服务器隐藏在Cloudflare基础设施后面,确保从受害者机器发出的所有出站通信看起来都是发往可信全球IP地址的合法HTTPS流量,"Talos表示。
"这种技术绕过了基于DNS的检测系统、DNS沉洞和网络流量分析工具对可疑域名查询的监控,确保恶意软件的命令控制通信能够绕过传统网络安全基础设施的检测。"
研究还发现,Dohdoor通过解除系统调用挂钩来绕过端点检测和响应(EDR)解决方案,这些解决方案通过NTDLL.dll中的用户模式挂钩监控Windows API调用。
Raghuprasad告诉The Hacker News,"攻击者感染了几个教育机构,包括一所与其他几个机构相连的大学,这表明潜在的攻击面更广。此外,受影响的实体之一是一家医疗机构,专门从事老年护理。"
对该攻击活动的分析显示,迄今为止没有数据泄露的证据。尽管除了似乎是用于后门进入受害者环境的Cobalt Strike Beacon之外,没有观察到其他最终载荷,但研究人员补充说,基于受害者模式,UAT-10027的行为可能是由经济利益驱动的。
目前尚不清楚UAT-10027的幕后操控者是谁,但思科Talos表示,他们发现Dohdoor与LazarLoader之间存在一些战术相似性,后者是此前被识别为朝鲜黑客组织Lazarus用于攻击韩国的下载器。
"虽然UAT-10027的恶意软件与Lazarus组织在技术上存在重叠,但该攻击活动对教育和医疗保健部门的关注偏离了Lazarus典型的加密货币和国防目标特征,"Talos总结道。
"然而,朝鲜APT行为者曾使用Maui勒索软件攻击医疗保健部门,另一个朝鲜APT组织Kimsuky也曾攻击教育部门,这突出了UAT-10027与其他朝鲜APT在受害者选择上的重叠。"
Q&A
Q1:UAT-10027是什么组织?主要攻击哪些目标?
A:UAT-10027是思科Talos追踪的一个此前未被记录的威胁活动组织,自2025年12月以来一直针对美国的教育和医疗保健部门进行恶意攻击活动。
Q2:Dohdoor后门程序有什么特殊能力?
A:Dohdoor是一个全新的后门程序,利用DNS-over-HTTPS(DoH)技术进行命令控制通信,具备下载和反射执行其他载荷二进制文件的能力,并能通过解除系统调用挂钩绕过端点检测和响应解决方案。
Q3:这次攻击活动的最终目的是什么?
A:目前分析显示没有数据泄露证据,除了部署Cobalt Strike Beacon创建后门访问外,没有观察到其他最终载荷。研究人员认为基于受害者模式,UAT-10027的行为可能是由经济利益驱动的。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
腾讯混元等机构提出HiLS-Attention,通过端到端可学习的分层稀疏注意力机制,让大模型在超长上下文推理中比全量注意力快14倍,同时检索准确率更高。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。