Dohdoorとは何ですか？

A. 新たに確認されたマルウェアで、DoHを利用する点が特徴です。

本来、DNS over HTTPS（DoH）はDNS通信を暗号化し、盗聴や改ざんを防ぐ仕組みですが、その特性が攻撃に使われています。

感染はフィッシングから始まり、PowerShellやWindowsバッチスクリプトを経由する多段階の流れで進みます。

途中段階では、追加コンポーネントの取得やバックドア設置の準備に加え、活動履歴を消す仕組みも組み込まれています。最終的にDohdoorは正規のWindows実行ファイルに組み込まれる形で動作を開始します。

起動後はDoHでC2ドメインを解決し、CloudflareのエッジネットワークとHTTPSで通信します。暗号化されたDNS通信のため、外部からは通常の通信のように見える構成です。

その後は追加のペイロードをメモリ上で実行できる状態を整え、Cobalt Strikeの機能利用も可能になります。

結果として、脅威アクターがさまざまな活動を行える環境が構築されると考えられます。

👉 詳細のブログはこちら