Задна вратичка на DRILLAPP
Анализатори по киберсигурност са идентифицирали нова кампания със заплахи, насочена към украински организации, с индикатори, предполагащи участие на лица, свързани с Русия. Активността, наблюдавана за първи път през февруари 2026 г., показва технически припокривания с предишна операция, приписвана на групата, известна като Laundry Bear (проследена също като UAC-0190 или Void Blizzard). Тази по-ранна кампания е била насочена към украинските отбранителни сили и е внедрила семейство зловреден софтуер, наречено PLUGGYAPE.
Последната операция въвежда JavaScript-базирана задна врата, изпълнявана през браузъра Microsoft Edge. Зловредният софтуер, наречен от изследователите DRILLAPP, е проектиран да използва възможностите на браузъра, за да качва и изтегля файлове, да осъществява достъп до микрофона и да заснема изображения от уеб камерата на жертвата.
Атакуващите разчитат на тактики на социално инженерство, за да разпространяват злонамерени компоненти. Примамки, препращащи към правни въпроси или благотворителни каузи, се използват, за да насърчат жертвите да отварят злонамерени файлове и да инициират веригата на заразяване.
Съдържание
Измамни примамки и метод на първоначална инфекция
Кампанията е наблюдавана в два различни варианта. Първата версия, открита в началото на февруари 2026 г., използва файл с пряк път на Windows (LNK) като първоначален механизъм за доставяне. При изпълнението си пряк път създава HTML файл с приложение (HTA) във временната директория на системата. След това този HTA файл извлича отдалечен скрипт, хостван на легитимната услуга за споделяне на Pastefy.
За да запазят устойчивостта на компрометираните системи, нападателите копират злонамерения LNK файл в папката „Стартиране“ на Windows, като гарантират, че той се изпълнява автоматично след всяко рестартиране на системата. След като веригата на заразяване започне, на жертвите се представят URL адреси, съдържащи теми-примамки, включително инструкции, свързани с инсталирането на Starlink, или препратки към украинската благотворителна фондация „Come Back Alive“.
HTA файлът в крайна сметка се стартира през браузъра Microsoft Edge, работещ в режим „без глава“, което позволява на браузъра да изпълни обфускирания скрипт, извлечен от Pastefy, без да показва стандартен прозорец на браузъра.
Използване на параметри на браузъра за скрит достъп
За да увеличи максимално възможностите си, злонамереният процес стартира браузъра Edge с множество параметри, които отслабват вградените защити и позволяват неоторизиран достъп до чувствителни системни ресурси.
Тези параметри позволяват на браузъра да заобиколи типичните защити и да извършва действия, които обикновено са ограничени от моделите за сигурност на браузъра. Конфигурацията ефективно позволява на зловредния софтуер да осъществява достъп до локални файлове, да заснема аудио и видео потоци и да записва активността на екрана, без да е необходимо взаимодействие от страна на жертвата.
Ключовите параметри на браузъра, използвани при атаката, включват:
--без пясъчник
--disable-web-security
--allow-file-access-from-files
--use-false-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Чрез злоупотреба с тези настройки, браузърът се превръща във функционален компонент на инфраструктурата на зловредния софтуер, а не просто в платформа за доставка.
Възможности за задна врата и наблюдение, базирани на браузър
Артефактът DRILLAPP функционира като лека, но многофункционална задна вратичка. След като е активен, той позволява на атакуващите да взаимодействат със заразената система чрез функции, активирани от браузъра, като ефективно трансформират браузъра в инструмент за дистанционно наблюдение.
Зловредният софтуер е способен да извършва няколко операции, които позволяват обширно наблюдение и събиране на данни от компрометирани устройства.
Основните възможности включват:
- Качване и изтегляне на файлове от локалната система
- Заснемане на звук през микрофона на устройството
- Записване на видео през уеб камера
- Правене на екранни снимки на системния дисплей
- Генериране на уникален пръстов отпечатък на устройството с помощта на техники за снемане на пръстови отпечатъци по платно
По време на първото си изпълнение, зловредният софтуер генерира пръстов отпечатък на устройството и използва Pastefy като „решител на мъртви точки“, за да извлече WebSocket адрес, използван за комуникация от типа „командване и контрол“. Тази архитектура позволява на атакуващите динамично да пренасочват заразените системи към тяхната оперативна инфраструктура.
Задната вратичка предава и пръстовия отпечатък на устройството, заедно с предполагаемото географско местоположение на жертвата. Местоположението се определя от часовата зона на системата и се проверява спрямо предварително дефиниран списък, който включва Обединеното кралство, Русия, Германия, Франция, Китай, Япония, Съединените щати, Бразилия, Индия, Украйна, Канада, Австралия, Италия, Испания и Полша. Ако часовата зона не съвпада с нито един от тези региони, зловредният софтуер по подразбиране идентифицира системата като разположена в Съединените щати.
Развиващи се техники във втория вариант на кампанията
Втора версия на кампанията се появи в края на февруари 2026 г., въвеждайки няколко модификации, като същевременно запазва цялостната структура на атаката. Вместо да разчита на LNK файлове с пряк път, актуализираният вариант използва модули на контролния панел на Windows като първоначален механизъм за доставяне.
Самият компонент на задната вратичка също получи функционални подобрения. Тези подобрения позволяват на зловредния софтуер да извършва по-дълбоки операции с файловата система и подобряват способността му да извлича данни от заразените среди.
Забележителните подобрения включват рекурсивно изброяване на файлове, качване на пакетни файлове и възможност за директно изтегляне на произволни файлове върху компрометираната система.
Заобикаляне на ограниченията на JavaScript с инструменти за отстраняване на грешки в Chromium
Стандартните ограничения за сигурност на JavaScript обикновено предотвратяват директното изтегляне на файлове в системата на жертвата от отдалечен код. За да заобиколят това ограничение, нападателите използват Chrome DevTools Protocol (CDP), вътрешен интерфейс за отстраняване на грешки, използван от браузъри, базирани на Chromium.
Достъпът до CDP е възможен само когато браузърът е стартиран с активиран параметър --remote-debugging-port. Чрез активирането на тази функция за отстраняване на грешки, нападателите получават възможността да контролират поведението на браузъра програмно и да заобикалят типичните ограничения от страна на клиента, което позволява отдалечено изтегляне на файлове, които иначе биха били блокирани.
Индикатори за ранно развитие и експериментална инфраструктура
Доказателствата сочат, че зловредният софтуер все още е в процес на активно разработване. Ранен вариант, открит в реално време на 28 януари 2026 г., е комуникирал изключително с домейна „gnome.com“, вместо да извлича основния си полезен товар от Pastefy.
Това поведение показва, че злонамерените лица може все още да усъвършенстват както инфраструктурата си, така и оперативните възможности на задната вратичка.
Злоупотребата с браузъри като нововъзникваща стратегия за избягване
Един от най-значимите аспекти на кампанията е умишленото използване на уеб браузър като основна среда за изпълнение на задната вратичка. Този подход подчертава нарастващата тенденция, при която нападателите пренасочват легитимен софтуер, за да избегнат откриването.
Браузърите предоставят няколко предимства за злонамерени операции. Те са широко използвани и обикновено се считат за безобидни процеси, което намалява вероятността от незабавно подозрение. Освен това, параметрите за отстраняване на грешки в браузъра могат да отключат мощни възможности, които позволяват иначе ограничени действия, като например отдалечено изтегляне на файлове и обширен достъп до системата.
Освен това, браузърите поддържат легитимни разрешения за взаимодействие с чувствителни хардуерни ресурси, включително микрофони, камери и механизми за заснемане на екрана, което позволява на нападателите да извършват дейности по наблюдение, докато се сливат с нормалното поведение на системата.
