باب خلفي لتطبيق DRILLAPP
رصد محللو الأمن السيبراني حملة تهديد جديدة تستهدف منظمات أوكرانية، وتشير المؤشرات إلى تورط جهات مرتبطة بروسيا. وقد رُصد هذا النشاط لأول مرة في فبراير 2026، ويُظهر تشابهاً تقنياً مع عملية سابقة نُسبت إلى مجموعة تُعرف باسم Laundry Bear (وتُعرف أيضاً باسم UAC-0190 أو Void Blizzard). استهدفت تلك الحملة السابقة قوات الدفاع الأوكرانية، ونشرت عائلة برمجيات خبيثة تُسمى PLUGGYAPE.
تُقدّم العملية الأخيرة بابًا خلفيًا قائمًا على لغة جافا سكريبت، يتم تنفيذه عبر متصفح مايكروسوفت إيدج. هذه البرمجية الخبيثة، التي يُطلق عليها الباحثون اسم DRILLAPP، مصممة لاستغلال إمكانيات المتصفح لتحميل وتنزيل الملفات، والوصول إلى الميكروفون، والتقاط الصور من كاميرا الويب الخاصة بالضحية.
يعتمد المهاجمون على أساليب الهندسة الاجتماعية لنشر المكونات الخبيثة. ويتم استخدام عبارات استدراجية تشير إلى مسائل قانونية أو قضايا خيرية لتشجيع الضحايا على فتح الملفات الخبيثة وبدء سلسلة العدوى.
جدول المحتويات
الطُعم الخادع وطريقة العدوى الأولية
رُصدت الحملة بنسختين مختلفتين. النسخة الأولى، التي رُصدت في أوائل فبراير 2026، تستخدم ملف اختصار ويندوز (LNK) كآلية أولية للتوزيع. عند تشغيله، يُنشئ الاختصار ملف تطبيق HTML (HTA) في المجلد المؤقت للنظام. ثم يسترجع ملف HTA هذا نصًا برمجيًا عن بُعد مُستضافًا على خدمة مشاركة النصوص Pastefy الشرعية.
لضمان استمرار وجودهم على الأنظمة المخترقة، يقوم المهاجمون بنسخ ملف LNK الخبيث إلى مجلد بدء تشغيل ويندوز، مما يضمن تشغيله تلقائيًا بعد كل إعادة تشغيل للنظام. بمجرد بدء سلسلة العدوى، تُعرض على الضحايا روابط إلكترونية ذات طابع مُضلل، تتضمن تعليمات متعلقة بتثبيت برنامج Starlink أو إشارات إلى مؤسسة Come Back Alive الخيرية الأوكرانية.
يتم تشغيل ملف HTA في النهاية من خلال متصفح Microsoft Edge الذي يعمل في وضع بدون واجهة رسومية، مما يسمح للمتصفح بتنفيذ البرنامج النصي المشفر الذي تم استرداده من Pastefy دون عرض نافذة متصفح قياسية.
استغلال معلمات المتصفح للوصول الخفي
لتحقيق أقصى قدر من قدراتها، تقوم العملية الخبيثة بتشغيل متصفح Edge بمعلمات متعددة تضعف الحماية الأمنية المدمجة وتتيح الوصول غير المصرح به إلى موارد النظام الحساسة.
تسمح هذه الإعدادات لبرنامج المتصفح بتجاوز إجراءات الحماية المعتادة وتنفيذ إجراءات مقيدة عادةً بنماذج أمان المتصفح. ويُمكّن هذا التكوين البرمجية الخبيثة من الوصول إلى الملفات المحلية، والتقاط تدفقات الصوت والفيديو، وتسجيل نشاط الشاشة دون الحاجة إلى أي تفاعل من الضحية.
تتضمن معلمات المتصفح الرئيسية المستخدمة في الهجوم ما يلي:
--بدون بيئة معزولة
--تعطيل أمان الويب
--allow-file-access-from-files
--استخدام واجهة مستخدم وهمية لتدفق الوسائط
--auto-select-screen-capture-source=true
--disable-user-media-security
من خلال إساءة استخدام هذه الإعدادات، يصبح المتصفح مكونًا وظيفيًا للبنية التحتية للبرامج الضارة بدلاً من كونه مجرد منصة توصيل.
إمكانيات الباب الخلفي والمراقبة عبر المتصفح
يعمل برنامج DRILLAPP كباب خلفي خفيف الوزن ومتعدد الاستخدامات. بمجرد تفعيله، يُمكّن المهاجمين من التفاعل مع النظام المصاب من خلال إمكانيات المتصفح، مما يحوّل المتصفح فعلياً إلى أداة مراقبة عن بُعد.
البرنامج الخبيث قادر على تنفيذ العديد من العمليات التي تسمح بالمراقبة المكثفة وجمع البيانات من الأجهزة المخترقة.
تشمل القدرات الأساسية ما يلي:
- تحميل وتنزيل الملفات من النظام المحلي
- التقاط الصوت من خلال ميكروفون الجهاز
- تسجيل الفيديو عبر كاميرا الويب
- التقاط لقطات شاشة لشاشة النظام
- توليد بصمة فريدة للجهاز باستخدام تقنيات بصمة القماش
أثناء تنفيذه الأول، يُنشئ البرنامج الخبيث بصمةً للجهاز ويستخدم Pastefy كـ"مُحلِّل عناوين مُخبأة" لاسترداد عنوان WebSocket المُستخدم في اتصالات التحكم والسيطرة. تُمكِّن هذه البنية المُهاجمين من إعادة توجيه الأنظمة المُصابة ديناميكيًا إلى بنيتهم التحتية التشغيلية.
يقوم الباب الخلفي أيضًا بنقل بصمة الجهاز إلى جانب الموقع الجغرافي المُستنتج للضحية. يُحدد الموقع من خلال المنطقة الزمنية للنظام، ويُقارن بقائمة مُحددة مسبقًا تشمل المملكة المتحدة، وروسيا، وألمانيا، وفرنسا، والصين، واليابان، والولايات المتحدة، والبرازيل، والهند، وأوكرانيا، وكندا، وأستراليا، وإيطاليا، وإسبانيا، وبولندا. إذا لم تتطابق المنطقة الزمنية مع أي من هذه المناطق، فإن البرمجية الخبيثة تُحدد النظام تلقائيًا على أنه موجود في الولايات المتحدة.
التقنيات المتطورة في النسخة الثانية من الحملة
ظهرت نسخة ثانية من الحملة في أواخر فبراير 2026، مُدخلةً عدة تعديلات مع الحفاظ على بنية الهجوم العامة. وبدلاً من الاعتماد على ملفات اختصار LNK، تستخدم النسخة المُحدثة وحدات لوحة تحكم ويندوز كآلية توصيل أولية.
كما تلقى مكون الباب الخلفي نفسه ترقيات وظيفية. تسمح هذه التحسينات للبرمجية الخبيثة بإجراء عمليات أعمق على نظام الملفات وتحسين قدرتها على استخراج البيانات من البيئات المصابة.
وتشمل التحسينات الملحوظة تعداد الملفات المتكرر، وتحميل الملفات دفعة واحدة، والقدرة على تنزيل ملفات عشوائية مباشرة على النظام المخترق.
تجاوز قيود جافا سكريبت باستخدام أدوات تصحيح أخطاء كروميوم
تمنع قيود الأمان القياسية في جافا سكريبت عادةً البرامج الضارة عن بُعد من تنزيل الملفات مباشرةً على نظام الضحية. ولتجاوز هذا القيد، يستغل المهاجمون بروتوكول أدوات مطوري كروم (CDP)، وهو واجهة تصحيح أخطاء داخلية تستخدمها المتصفحات المبنية على كروميوم.
لا يمكن الوصول إلى CDP إلا عند تشغيل المتصفح مع تفعيل خيار --remote-debugging-port. بتفعيل هذه الخاصية، يتمكن المهاجمون من التحكم في سلوك المتصفح برمجيًا وتجاوز القيود المعتادة على جانب العميل، مما يتيح تنزيل الملفات عن بُعد التي كانت ستُحظر لولا ذلك.
مؤشرات التنمية المبكرة والبنية التحتية التجريبية
تشير الأدلة إلى أن البرمجية الخبيثة لا تزال قيد التطوير النشط. وقد تم اكتشاف نسخة مبكرة منها في 28 يناير 2026، وكانت تتواصل حصريًا مع النطاق 'gnome.com' بدلاً من استرداد حمولتها الأساسية من موقع Pastefy.
يشير هذا السلوك إلى أن الجهات الفاعلة في التهديد ربما لا تزال تعمل على تحسين كل من بنيتها التحتية والقدرات التشغيلية للباب الخلفي.
إساءة استخدام المتصفح كاستراتيجية تهرب ناشئة
من أبرز جوانب هذه الحملة استخدام متصفح الويب عمداً كبيئة تنفيذ رئيسية للباب الخلفي. يُسلط هذا النهج الضوء على اتجاه متزايد يلجأ فيه المهاجمون إلى إعادة توظيف برامج شرعية للتهرب من الكشف.
توفر المتصفحات العديد من المزايا للعمليات الخبيثة. فهي شائعة الاستخدام وتُعتبر عادةً عمليات غير ضارة، مما يقلل من احتمالية الشك الفوري. بالإضافة إلى ذلك، يمكن لمعاملات تصحيح أخطاء المتصفح أن تُتيح إمكانيات قوية تُمكّن من القيام بأمور كانت محظورة لولاها، مثل تنزيل الملفات عن بُعد والوصول الشامل إلى النظام.
علاوة على ذلك، تحتفظ المتصفحات بأذونات مشروعة للتفاعل مع موارد الأجهزة الحساسة، بما في ذلك الميكروفونات والكاميرات وآليات التقاط الشاشة، مما يسمح للمهاجمين بتنفيذ أنشطة المراقبة مع الاندماج في سلوك النظام الطبيعي.
