Dohdoor-Malware greift US-Gesundheitswesen an

Eine neue Hackergruppe nutzt eine bisher unbekannte Schadsoftware, um US-Krankenhäuser und Bildungseinrichtungen zu infiltrieren. Die als UAT-10027 identifizierten Angreifer setzen auf die Backdoor "Dohdoor", die sich durch außergewöhnliche Tarnfähigkeiten auszeichnet. Sie nutzt verschlüsselte Webprotokolle, um herkömmliche Sicherheitsvorkehrungen zu umgehen. Analysten stufen die Bedrohungslage als äußerst kritisch ein.

So schleust sich die Schadsoftware ein

Die Infektion beginnt meist mit gezielten Phishing-E-Mails an Mitarbeiter. Interagiert ein Nutzer, läuft im Hintergrund ein bösartiges PowerShell-Skript. Dieses lädt weitere Komponenten von externen Servern, darunter eine getarnte DLL-Datei. Um keine Alarme auszulösen, missbraucht die Malware legitime Windows-Programme. Diese "Living-off-the-Land"-Technik fügt die Schadsoftware nahtlos in normale Systemaktivitäten ein.

Da gezielte Phishing-Mails oft das erste Einfallstor für komplexe Cyberangriffe wie UAT-10027 sind, ist ein fundierter Schutz der Mitarbeiter entscheidend. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung, um Ihr Unternehmen wirksam vor Phishing-Attacken und modernen Hacker-Methoden zu schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

Aktiviert, bereint Dohdoor sofort ihre Spuren. Sie löscht den Zwischenspeicher, modifiziert Registry-Einträge und entfernt temporäre Dateien. Das erschwert forensische Untersuchungen massiv. Anschließend lädt sie oft einen Cobalt Strike Beacon direkt in den Arbeitsspeicher. Diese Hintertür öffnet den Hackern dauerhaften Zugang zum internen Netzwerk.

Der geniale Tarnmechanismus: DNS-over-HTTPS

Der Namensgeber der Malware ist ihre konsequente Nutzung von DNS-over-HTTPS (DoH). Dieses Protokoll verschlüsselt normalerweise DNS-Anfragen im HTTPS-Datenverkehr zum Schutz der Privatsphäre. UAT-10027 missbraucht es jedoch als geheimen Tunnel.

Die Malware leitet ihren Datenverkehr über die verschlüsselte DNS-Infrastruktur von Cloudflare. Für herkömmliche Sicherheitstools, die nur den unverschlüsselten Port 53 überwachen, bleibt dieser Traffic unsichtbar. Er erscheint als legitimer HTTPS-Verkehr zu einer vertrauenswürdigem IP-Adresse. "Diese Technik nutzt gezielt einen blinden Fleck aus", erklärt Sicherheitsexperte Jacob Krell von Suzu Labs.

EDR-Umgehung und Verdacht auf staatliche Akteure

Dohdoor verfügt über fortschrittliche Mechanismen, um Endpoint Detection and Response (EDR) Lösungen zu umgehen. Die Malware manipuliert Systemaufrufe in der Windows-Datei ntdll.dll dynamisch. Durch das Entfernen von Überwachungspunkten blendet sie die Sensorik der Sicherheitssoftware aus. Das Dashboard zeigt ein gesundes System an – während der Angreifer ungehindert agiert.

Angesichts immer raffinierterer Tarntechniken und neuer Bedrohungslagen stehen Unternehmen vor massiven Herausforderungen in der IT-Sicherheit. Dieser kostenlose Report enthüllt effektive Strategien, wie Sie Ihre Cyber-Abwehr proaktiv stärken können, ohne dabei das Budget zu sprengen. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Wer genau hinter UAT-10027 steckt, ist noch unklar. Das Forschungsteam von Cisco Talos sieht jedoch technische Überschneidungen mit der nordkoreanischen Lazarus-Gruppe. Bestimmte Entschlüsselungsroutinen ähneln dem bekannten LazarLoader. Die Zielauswahl weicht aber ab: Statt Finanzsektor attackiert UAT-10027 das US-Gesundheitswesen. Nordkoreanische Gruppen hatten jedoch bereits Krankenhäuser mit der Maui-Ransomware angegriffen.

Warum das Gesundheitswesen ein perfektes Ziel ist

Der Angriff trifft eine Branche unter Dauerdruck. Krankenhäuser müssen Systeme ständig verfügbar halten, während Sicherheitsbudgets oft begrenzt sind. Die Dohdoor-Kampagne zielt nicht auf schnelle Zerstörung oder Erpressung ab. Der Fokus liegt auf dauerhafter Präsenz und heimlicher Informationsbeschaffung.

Die Angreifer nehmen sich Zeit, komplexe IT-Umgebungen zu erkunden. Bisher wurden keine massiven Datenabflüsse bestätigt. Experten warnen jedoch: Der etablierte Zugriff kann jederzeit für verheerende Folgeangriffe genutzt werden. Herkömmliche DNS-Filter laufen bei dieser Angriffsart ins Leere. Das erfordert ein sofortiges Umdenken in der Sicherheitsarchitektur.

Was Krankenhäuser jetzt tun müssen

Cybersicherheitsexperten raten betroffenen Organisationen zu grundlegenden Anpassungen. Der Fokus muss sich von netzwerkbasierten Filtern hin zu strenger Endpunkt-Telemetrie verlagern. Krankenhäuser sollten in Verhaltensanalysen investieren, um subtile Anomalien aufzuspüren.

Zudem wird die strikte Einschränkung von ausgehendem DoH-Verkehr zum neuen Standard. Erlaubt sein sollten nur genehmigte und überwachte Resolver. Schließen Einrichtungen diese Sicherheitslücken nicht zügig, drohen schwerwiegende Folgeangriffe. Diese könnten den regulären Betrieb und die Patientenversorgung massiv gefährden.