【安全资讯】疑似朝鲜黑客组织利用新型后门攻击美国医疗与教育机构

概要：

网络安全形势日益严峻，高级持续性威胁（APT）活动频繁。近期，安全研究人员发现一个疑似与朝鲜有关联的黑客组织，自去年12月起，针对美国的教育和医疗保健机构展开攻击，并部署了一种前所未见的新型后门。此次事件凸显了关键基础设施面临的持续风险，特别是涉及弱势群体服务的医疗领域，其影响深远，值得高度警惕。

主要内容：

根据Cisco Talos的研究报告，该攻击活动被追踪为UAT-10027。攻击者疑似通过社会工程学和网络钓鱼手段获得初始访问权限。感染链最终会投递一个名为“Dohdoor”的新型后门程序。该后门在技术特征上与朝鲜 Lazarus Group 使用的 Lazarloader 恶意软件存在相似之处，因此研究人员以“低置信度”将其归因于朝鲜背景的黑客组织。

攻击过程具有多阶段性和高度隐蔽性。入侵者首先执行一个PowerShell下载器，从远程服务器获取并运行一个Windows批处理脚本。该脚本随后通过DLL侧加载技术，执行名为“propsys.dll”或“batmeter.dll”的恶意DLL文件。Dohdoor后门作为加载器，在合法的Windows进程内下载、解密并执行恶意载荷，从而为攻击者提供后门访问权限。

为规避检测，攻击者采用了多种先进技术。他们利用Cloudflare基础设施建立命令与控制（C2）域名，并使用DNS-over-HTTPS（DoH）技术解析C2服务器IP地址，使外泄流量伪装成合法的HTTPS流量。Dohdoor还使用了进程镂空技术将有效载荷注入合法二进制文件，并采用NTDLL脱钩技术来绕过端点检测与响应（EDR）工具的监控。这些技术细节与Lazarus Group过往的活动存在重叠。

尽管技术特征相似，但此次攻击将教育（包括一所大学及其关联机构）和医疗（特别是老年护理机构）作为主要目标，这与Lazarus Group通常针对加密货币和国防领域的模式有所不同。然而，近期也有其他安全公司报告称Lazarus已开始使用Medusa勒索软件攻击医疗组织，表明其战术可能正在演变。此次事件对受害机构的运营安全和数据隐私构成了直接威胁。