UAT-10027 Kampanyası: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörleri Hedefte

Anasayfa » UAT-10027 Kampanyası: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörleri Hedefte
APT, Saldırı Teknikleri, Zararlılar
Mart 3, 2026Mart 3, 2026Tarafından Cybernews.TR
0
UAT-10027 Kampanyası: Dohdoor Arka Kapısı ile ABD Eğitim ve Sağlık Sektörleri Hedefte

Saldırının Genel Çerçevesi

UAT-10027 adlı siber saldırı kampanyası, ABD’deki eğitim ve sağlık sektörlerinde faaliyet gösteren kurumları hedef alıyor. Kampanyada, Dohdoor isimli daha önce görülmemiş bir arka kapı zararlısı kullanılıyor. Saldırganlar, sosyal mühendislik ve oltalama teknikleriyle ilk erişimi sağladıktan sonra, PowerShell betikleri aracılığıyla zararlı yazılımları sistemlere yerleştiriyor.

Dohdoor, komut ve kontrol (C2) iletişimlerinde DNS-over-HTTPS (DoH) protokolünü kullanarak ağ trafiğini gizliyor. Bu yöntem, geleneksel DNS tabanlı tespit sistemlerini ve ağ trafiği analiz araçlarını atlatmak için tercih ediliyor. Ayrıca, zararlı yazılım “DLL side-loading” tekniğiyle meşru Windows yürütülebilir dosyalarını kullanarak kendini çalıştırıyor ve böylece tespit edilme olasılığını azaltıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyanın başlangıcında sosyal mühendislik veya oltalama yoluyla hedef sistemlere erişim sağlanıyor. Ardından, PowerShell betiği çalıştırılarak uzak bir sunucudan Windows toplu iş betiği indiriliyor. Bu betik, “propsys.dll” veya “batmeter.dll” gibi zararlı DLL dosyalarını indirip yüklüyor. Dohdoor, bu DLL yüklerini meşru Windows dosyaları (örneğin “Fondue.exe”, “mblctr.exe” ve “ScreenClippingHost.exe”) aracılığıyla başlatıyor.

Yüklenen arka kapı, kurbanın belleğine doğrudan Cobalt Strike Beacon gibi ileri düzey bir yük indirip çalıştırabiliyor. Bu sayede saldırganlar, hedef sistem üzerinde kalıcı ve gizli erişim sağlıyor. Dohdoor ayrıca, NTDLL.dll içindeki kullanıcı modlu kancalar aracılığıyla Windows API çağrılarını izleyen uç nokta tespit ve yanıt (EDR) çözümlerini devre dışı bırakmak için sistem çağrılarını engelliyor.

Hangi Sistemler Risk Altında?

Analizlere göre, kampanya özellikle ABD’deki eğitim kurumları ve yaşlı bakımı alanındaki sağlık tesislerini hedef alıyor. Birden fazla eğitim kurumu enfekte edilmiş durumda ve bunlar arasında bağlantılı bir üniversite de bulunuyor. Bu durum, saldırının potansiyel olarak daha geniş bir yüzeye yayıldığını gösteriyor. Henüz veri sızıntısı kanıtı bulunmamakla birlikte, kullanılan Cobalt Strike Beacon yükü finansal motivasyonlu gelişmiş tehdit aktörlerine işaret ediyor.

Teknik Özet

  • Kullanılan zararlı: Dohdoor arka kapısı, Cobalt Strike Beacon
  • Hedef sektörler: Eğitim ve sağlık (özellikle yaşlı bakımı)
  • Kullanılan teknikler: Sosyal mühendislik, oltalama, PowerShell betikleri, DLL side-loading
  • C2 iletişimi: DNS-over-HTTPS (DoH) ile gizlenmiş
  • EDR atlatma: NTDLL.dll kullanıcı modlu kancaları devre dışı bırakma
  • Benzerlikler: Kuzey Koreli Lazarus grubunun LazarLoader indiricisiyle taktiksel paralellikler
  • Önerilen savunma: Çok faktörlü kimlik doğrulama (MFA), ağ segmentasyonu, güncel EDR ve SIEM çözümleri, DoH trafiği izleme

Siber Güvenlik Ekipleri İçin Öneriler

  • DoH trafiğini izlemek için gelişmiş ağ analiz araçları kullanın.
  • PowerShell ve toplu iş betiklerinin çalıştırılmasını kısıtlayın ve izleyin.
  • DLL side-loading tekniklerine karşı yürütülebilir dosya davranışlarını sürekli analiz edin.
  • EDR çözümlerinizin NTDLL.dll kancalarını izleme ve engelleme yeteneklerini güncel tutun.
  • Olay müdahale (incident response) planlarınızı DoH tabanlı C2 iletişimlerini içerecek şekilde güncelleyin.
  • E-posta güvenliği çözümlerini güçlendirerek oltalama saldırılarını engellemeye odaklanın.
  • Ağ segmentasyonu ile kritik sistemleri izole edin ve erişimleri sınırlandırın.
  • Bulut güvenliği politikalarınızı gözden geçirerek dış kaynaklı zararlı yazılım indirmelerini engelleyin.
, , , , , , , , ,