Rabattilbud med flere licenser
Trusseldatabase Malware DRILLAPP Bagdør

DRILLAPP Bagdør

Med Mezo i Malware, Advanced Persistent Threat (APT), Bagdøre
Oversæt til:

Cybersikkerhedsanalytikere har identificeret en ny trusselskampagne rettet mod ukrainske organisationer, med indikatorer, der tyder på involvering fra aktører med tilknytning til Rusland. Aktiviteten, der først blev observeret i februar 2026, viser tekniske overlap med en tidligere operation tilskrevet gruppen kendt som Laundry Bear (også sporet som UAC-0190 eller Void Blizzard). Denne tidligere kampagne var rettet mod ukrainske forsvarsstyrker og implementerede en malware-familie kaldet PLUGGYAPE.

Den seneste operation introducerer en JavaScript-baseret bagdør, der udføres via Microsoft Edge-browseren. Malwaren, som forskere kalder DRILLAPP, er designet til at udnytte browserfunktioner for at uploade og downloade filer, få adgang til mikrofonen og optage billeder fra offerets webcam.

Angribere bruger social engineering til at distribuere de skadelige komponenter. Lokkemidler, der refererer til juridiske anliggender eller velgørende formål, bruges til at tilskynde ofrene til at åbne skadelige filer og starte infektionskæden.

Vildledende lokkemidler og indledende infektionsmetode

Kampagnen er blevet observeret i to forskellige varianter. Den første version, der blev opdaget i starten af februar 2026, bruger en Windows-genvejsfil (LNK) som den indledende leveringsmekanisme. Når genvejen udføres, opretter den en HTML-applikationsfil (HTA) i systemets midlertidige mappe. Denne HTA-fil henter derefter et fjernscript, der hostes på den legitime indsættelsesdelingstjeneste Pastefy.

For at opretholde persistens på kompromitterede systemer kopierer angriberne den ondsindede LNK-fil til Windows-startmappen og sikrer, at den automatisk kører efter hver systemgenstart. Når infektionskæden begynder, får ofrene præsenteret URL'er, der indeholder lokkefugletemaer, herunder instruktioner relateret til installation af Starlink eller referencer til den ukrainske velgørenhedsorganisation Come Back Alive Foundation.

HTA-filen starter i sidste ende via Microsoft Edge-browseren, der fungerer i headless-tilstand, hvilket giver browseren mulighed for at udføre det obfuskerede script hentet fra Pastefy uden at vise et standardbrowservindue.

Udnyttelse af browserparametre til skjult adgang

For at maksimere sine muligheder starter den ondsindede proces Edge-browseren med flere parametre, der svækker indbyggede sikkerhedsbeskyttelser og muliggør uautoriseret adgang til følsomme systemressourcer.

Disse parametre gør det muligt for browserinstansen at omgå typiske sikkerhedsforanstaltninger og udføre handlinger, der normalt er begrænset af browsersikkerhedsmodeller. Konfigurationen gør det effektivt muligt for malwaren at få adgang til lokale filer, optage lyd- og videostreams og optage skærmaktivitet uden at kræve nogen interaktion fra offeret.

De vigtigste browserparametre, der blev brugt i angrebet, inkluderer:

--ingen-sandkasse

--deaktiver-websikkerhed

--tillad-filadgang-fra-filer

--brug-falsk-brugergrænseflade-til-mediestrøm

--auto-select-screen-capture-source=sand

--deaktiver-bruger-mediesikkerhed

Ved at misbruge disse indstillinger bliver browseren en funktionel komponent i malwareinfrastrukturen snarere end blot en leveringsplatform.

Browserbaseret bagdør og overvågningsfunktioner

DRILLAPP-artefaktet fungerer som en let, men alsidig bagdør. Når den er aktiv, giver den angribere mulighed for at interagere med det inficerede system via browseraktiverede funktioner, hvilket effektivt omdanner browseren til et fjernovervågningsværktøj.

Malwaren er i stand til at udføre adskillige operationer, der muliggør omfattende overvågning og dataindsamling fra kompromitterede enheder.

Kernefunktioner omfatter:

  • Upload og download af filer fra det lokale system
  • Optagelse af lyd via enhedens mikrofon
  • Optagelse af video via webcam
  • Tager skærmbilleder af systemdisplayet
  • Generering af et unikt enhedsfingeraftryk ved hjælp af lærredsfingeraftryksteknikker

Under sin første udførelse genererer malwaren et enhedsfingeraftryk og bruger Pastefy som en 'dead-drop resolver' til at hente en WebSocket-adresse, der bruges til kommando-og-kontrol-kommunikation. Denne arkitektur giver angribere mulighed for dynamisk at omdirigere inficerede systemer til deres operationelle infrastruktur.

Bagdøren overfører også enhedens fingeraftryk sammen med offerets udledte geografiske placering. Placeringen bestemmes ud fra systemets tidszone og kontrolleres mod en foruddefineret liste, der inkluderer Storbritannien, Rusland, Tyskland, Frankrig, Kina, Japan, USA, Brasilien, Indien, Ukraine, Canada, Australien, Italien, Spanien og Polen. Hvis tidszonen ikke matcher nogen af disse regioner, identificerer malwaren som standard systemet som placeret i USA.

Udviklende teknikker i den anden kampagnevariant

En anden version af kampagnen dukkede op i slutningen af februar 2026, der introducerede flere ændringer, samtidig med at den overordnede angrebsstruktur blev bevaret. I stedet for at stole på LNK-genvejsfiler bruger den opdaterede variant Windows Kontrolpanel-moduler som den indledende leveringsmekanisme.

Selve bagdørskomponenten modtog også funktionelle opgraderinger. Disse forbedringer gør det muligt for malwaren at udføre dybere filsystemoperationer og forbedre dens evne til at udvinde data fra inficerede miljøer.

Bemærkelsesværdige forbedringer inkluderer rekursiv filoptælling, batchfiluploads og muligheden for at downloade vilkårlige filer direkte til det kompromitterede system.

Omgå JavaScript-begrænsninger med Chromium Debugging Tools

Standard JavaScript-sikkerhedsrestriktioner forhindrer typisk fjernkode i at downloade filer direkte til et offers system. For at omgå denne begrænsning udnytter angriberne Chrome DevTools Protocol (CDP), en intern fejlfindingsgrænseflade, der bruges af Chromium-baserede browsere.

CDP kan kun tilgås, når browseren startes med parameteren --remote-debugging-port aktiveret. Ved at aktivere denne fejlfindingsfunktion får angriberne mulighed for at kontrollere browserens adfærd programmatisk og omgå typiske klientsidebegrænsninger, hvilket muliggør fjerndownloads af filer, der ellers ville blive blokeret.

Tidlige udviklingsindikatorer og eksperimentel infrastruktur

Beviser tyder på, at malwaren stadig er under aktiv udvikling. En tidlig variant, der blev opdaget i naturen den 28. januar 2026, kommunikerede udelukkende med domænet 'gnome.com' i stedet for at hente sin primære nyttelast fra Pastefy.

Denne adfærd indikerer, at trusselsaktørerne muligvis stadig er i gang med at forfine både deres infrastruktur og bagdørens operationelle kapaciteter.

Browsermisbrug som en fremvoksende undvigelsesstrategi

Et af de vigtigste aspekter af kampagnen er den bevidste brug af en webbrowser som det primære eksekveringsmiljø for bagdøren. Denne tilgang fremhæver en voksende tendens, hvor angribere genbruger legitim software for at undgå at blive opdaget.

Browsere tilbyder adskillige fordele ved ondsindede handlinger. De er meget udbredte og betragtes typisk som godartede processer, hvilket reducerer sandsynligheden for øjeblikkelig mistanke. Derudover kan browserfejlfindingsparametre låse op for effektive funktioner, der muliggør ellers begrænsede handlinger, såsom fjerndownloads af filer og omfattende systemadgang.

Derudover har browsere legitime tilladelser til at interagere med følsomme hardwareressourcer, herunder mikrofoner, kameraer og skærmoptagelsesmekanismer, hvilket giver angribere mulighed for at udføre overvågningsaktiviteter, samtidig med at de integreres i normal systemadfærd.

Trending

Mest sete

Indlæser...