DRILLAPP Backdoor

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors

Μετάφραση σε:

Οι αναλυτές κυβερνοασφάλειας έχουν εντοπίσει μια νέα εκστρατεία απειλών που στοχεύει ουκρανικούς οργανισμούς, με ενδείξεις που υποδηλώνουν εμπλοκή φορέων που συνδέονται με τη Ρωσία. Η δραστηριότητα, που παρατηρήθηκε για πρώτη φορά τον Φεβρουάριο του 2026, δείχνει τεχνικές επικαλύψεις με μια προηγούμενη επιχείρηση που αποδόθηκε στην ομάδα γνωστή ως Laundry Bear (που παρακολουθείται επίσης ως UAC-0190 ή Void Blizzard). Αυτή η προηγούμενη εκστρατεία στόχευε τις ουκρανικές αμυντικές δυνάμεις και ανέπτυξε μια οικογένεια κακόβουλου λογισμικού που ονομάζεται PLUGGYAPE.

Η τελευταία λειτουργία εισάγει ένα backdoor βασισμένο σε JavaScript που εκτελείται μέσω του προγράμματος περιήγησης Microsoft Edge. Το κακόβουλο λογισμικό, που αναφέρεται από τους ερευνητές ως DRILLAPP, έχει σχεδιαστεί για να εκμεταλλεύεται τις δυνατότητες του προγράμματος περιήγησης για να ανεβάζει και να κατεβάζει αρχεία, να έχει πρόσβαση στο μικρόφωνο και να καταγράφει εικόνες από την κάμερα web του θύματος.

Οι επιτιθέμενοι βασίζονται σε τακτικές κοινωνικής μηχανικής για τη διανομή των κακόβουλων στοιχείων. Δολώματα που αναφέρονται σε νομικά ζητήματα ή φιλανθρωπικούς σκοπούς χρησιμοποιούνται για να ενθαρρύνουν τα θύματα να ανοίξουν κακόβουλα αρχεία και να ξεκινήσουν την αλυσίδα μόλυνσης.

Πίνακας περιεχομένων

Παραπλανητικά δολώματα και μέθοδος αρχικής μόλυνσης

Η καμπάνια έχει παρατηρηθεί σε δύο ξεχωριστές παραλλαγές. Η πρώτη έκδοση, που εντοπίστηκε στις αρχές Φεβρουαρίου 2026, χρησιμοποιεί ένα αρχείο συντόμευσης των Windows (LNK) ως αρχικό μηχανισμό παράδοσης. Όταν εκτελείται, η συντόμευση δημιουργεί ένα αρχείο εφαρμογής HTML (HTA) εντός του προσωρινού καταλόγου του συστήματος. Αυτό το αρχείο HTA ανακτά στη συνέχεια ένα απομακρυσμένο σενάριο που φιλοξενείται στην νόμιμη υπηρεσία κοινής χρήσης επικόλλησης Pastefy.

Για να διατηρήσουν την ασφάλεια σε παραβιασμένα συστήματα, οι εισβολείς αντιγράφουν το κακόβουλο αρχείο LNK στον φάκελο Startup των Windows, διασφαλίζοντας ότι εκτελείται αυτόματα μετά από κάθε επανεκκίνηση του συστήματος. Μόλις ξεκινήσει η αλυσίδα μόλυνσης, στα θύματα παρουσιάζονται URL που περιέχουν θέματα παραπλάνησης, συμπεριλαμβανομένων οδηγιών σχετικά με την εγκατάσταση του Starlink ή αναφορών στο ουκρανικό φιλανθρωπικό ίδρυμα Come Back Alive Foundation.

Το αρχείο HTA τελικά εκκινείται μέσω του προγράμματος περιήγησης Microsoft Edge που λειτουργεί σε λειτουργία headless, επιτρέποντας στο πρόγραμμα περιήγησης να εκτελέσει το κρυμμένο σενάριο που ανακτήθηκε από το Pastefy χωρίς να εμφανίσει ένα τυπικό παράθυρο προγράμματος περιήγησης.

Εκμετάλλευση παραμέτρων προγράμματος περιήγησης για μυστική πρόσβαση

Για να μεγιστοποιήσει τις δυνατότητές της, η κακόβουλη διαδικασία εκκινεί το πρόγραμμα περιήγησης Edge με πολλαπλές παραμέτρους που αποδυναμώνουν τις ενσωματωμένες προστασίες ασφαλείας και επιτρέπουν την μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητους πόρους του συστήματος.

Αυτές οι παράμετροι επιτρέπουν στην παρουσία του προγράμματος περιήγησης να παρακάμπτει τις τυπικές διασφαλίσεις και να εκτελεί ενέργειες που συνήθως περιορίζονται από τα μοντέλα ασφαλείας του προγράμματος περιήγησης. Η διαμόρφωση επιτρέπει αποτελεσματικά στο κακόβουλο λογισμικό να έχει πρόσβαση σε τοπικά αρχεία, να καταγράφει ροές ήχου και βίντεο και να καταγράφει τη δραστηριότητα της οθόνης χωρίς να απαιτείται καμία παρέμβαση από το θύμα.

Οι βασικές παράμετροι του προγράμματος περιήγησης που χρησιμοποιούνται στην επίθεση περιλαμβάνουν:

--χωρίς-sandbox

--απενεργοποίηση-ασφάλειας-ιστού

--allow-file-access-from-files

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--απενεργοποίηση-ασφάλειας-μέσου-χρήστη

Με την κατάχρηση αυτών των ρυθμίσεων, το πρόγραμμα περιήγησης γίνεται ένα λειτουργικό στοιχείο της υποδομής κακόβουλου λογισμικού και όχι απλώς μια πλατφόρμα παράδοσης.

Δυνατότητες Backdoor και Επιτήρησης που βασίζονται σε πρόγραμμα περιήγησης

Το τεχνούργημα DRILLAPP λειτουργεί ως ένα ελαφρύ αλλά ευέλικτο backdoor. Μόλις ενεργοποιηθεί, επιτρέπει στους εισβολείς να αλληλεπιδρούν με το μολυσμένο σύστημα μέσω δυνατοτήτων που είναι ενεργοποιημένες από το πρόγραμμα περιήγησης, μετατρέποντας αποτελεσματικά το πρόγραμμα περιήγησης σε ένα εργαλείο απομακρυσμένης παρακολούθησης.

Το κακόβουλο λογισμικό είναι ικανό να εκτελέσει διάφορες λειτουργίες που επιτρέπουν εκτεταμένη παρακολούθηση και συλλογή δεδομένων από παραβιασμένες συσκευές.

Οι βασικές δυνατότητες περιλαμβάνουν:

Μεταφόρτωση και λήψη αρχείων από το τοπικό σύστημα
Λήψη ήχου μέσω του μικροφώνου της συσκευής
Εγγραφή βίντεο μέσω της κάμερας web
Λήψη στιγμιότυπων οθόνης της οθόνης του συστήματος
Δημιουργία μοναδικού δακτυλικού αποτυπώματος συσκευής χρησιμοποιώντας τεχνικές δακτυλικού αποτυπώματος καμβά

Κατά την πρώτη του εκτέλεση, το κακόβουλο λογισμικό δημιουργεί ένα δακτυλικό αποτύπωμα συσκευής και χρησιμοποιεί το Pastefy ως «dead-drop resolver» για να ανακτήσει μια διεύθυνση WebSocket που χρησιμοποιείται για επικοινωνίες εντολών και ελέγχου. Αυτή η αρχιτεκτονική επιτρέπει στους εισβολείς να ανακατευθύνουν δυναμικά τα μολυσμένα συστήματα στην επιχειρησιακή τους υποδομή.

Το backdoor μεταδίδει επίσης το δακτυλικό αποτύπωμα της συσκευής παράλληλα με την υποτιθέμενη γεωγραφική τοποθεσία του θύματος. Η τοποθεσία προσδιορίζεται από τη ζώνη ώρας του συστήματος και ελέγχεται σε σχέση με μια προκαθορισμένη λίστα που περιλαμβάνει το Ηνωμένο Βασίλειο, τη Ρωσία, τη Γερμανία, τη Γαλλία, την Κίνα, την Ιαπωνία, τις Ηνωμένες Πολιτείες, τη Βραζιλία, την Ινδία, την Ουκρανία, τον Καναδά, την Αυστραλία, την Ιταλία, την Ισπανία και την Πολωνία. Εάν η ζώνη ώρας δεν ταιριάζει με καμία από αυτές τις περιοχές, το κακόβουλο λογισμικό αναγνωρίζει από προεπιλογή το σύστημα ως βρίσκεται στις Ηνωμένες Πολιτείες.

Εξελισσόμενες Τεχνικές στη Δεύτερη Παραλλαγή Εκστρατείας

Μια δεύτερη έκδοση της καμπάνιας εμφανίστηκε στα τέλη Φεβρουαρίου 2026, εισάγοντας αρκετές τροποποιήσεις διατηρώντας παράλληλα τη συνολική δομή επίθεσης. Αντί να βασίζεται σε αρχεία συντομεύσεων LNK, η ενημερωμένη παραλλαγή χρησιμοποιεί τις ενότητες του Πίνακα Ελέγχου των Windows ως τον αρχικό μηχανισμό παράδοσης.

Το ίδιο το στοιχείο backdoor έλαβε επίσης λειτουργικές αναβαθμίσεις. Αυτές οι βελτιώσεις επιτρέπουν στο κακόβουλο λογισμικό να εκτελεί βαθύτερες λειτουργίες του συστήματος αρχείων και να βελτιώνει την ικανότητά του να απομακρύνει δεδομένα από μολυσμένα περιβάλλοντα.

Αξιοσημείωτες βελτιώσεις περιλαμβάνουν την αναδρομική απαρίθμηση αρχείων, τις μαζικές μεταφορτώσεις αρχείων και τη δυνατότητα λήψης αυθαίρετων αρχείων απευθείας στο παραβιασμένο σύστημα.

Παράκαμψη περιορισμών JavaScript με εργαλεία εντοπισμού σφαλμάτων Chromium

Οι τυπικοί περιορισμοί ασφαλείας JavaScript συνήθως εμποδίζουν τον απομακρυσμένο κώδικα να κατεβάζει αρχεία απευθείας στο σύστημα ενός θύματος. Για να παρακάμψουν αυτόν τον περιορισμό, οι εισβολείς αξιοποιούν το Chrome DevTools Protocol (CDP), μια εσωτερική διεπαφή εντοπισμού σφαλμάτων που χρησιμοποιείται από προγράμματα περιήγησης που βασίζονται στο Chromium.

Η πρόσβαση στο CDP είναι δυνατή μόνο όταν το πρόγραμμα περιήγησης έχει ξεκινήσει με ενεργοποιημένη την παράμετρο --remote-debugging-port. Ενεργοποιώντας αυτήν τη λειτουργία εντοπισμού σφαλμάτων, οι εισβολείς αποκτούν τη δυνατότητα να ελέγχουν τη συμπεριφορά του προγράμματος περιήγησης μέσω προγραμματισμού και να παρακάμπτουν τους τυπικούς περιορισμούς από την πλευρά του πελάτη, επιτρέποντας την απομακρυσμένη λήψη αρχείων που διαφορετικά θα αποκλείονταν.

Δείκτες Πρώιμης Ανάπτυξης και Πειραματική Υποδομή

Τα στοιχεία υποδηλώνουν ότι το κακόβουλο λογισμικό βρίσκεται ακόμη υπό ενεργό ανάπτυξη. Μια πρώιμη παραλλαγή που ανακαλύφθηκε στις 28 Ιανουαρίου 2026, επικοινωνούσε αποκλειστικά με τον τομέα 'gnome.com' αντί να ανακτά το κύριο ωφέλιμο φορτίο του από το Pastefy.

Αυτή η συμπεριφορά υποδεικνύει ότι οι απειλητικοί παράγοντες ενδέχεται να εξακολουθούν να βελτιώνουν τόσο την υποδομή τους όσο και τις λειτουργικές δυνατότητες του backdoor.

Κατάχρηση προγραμμάτων περιήγησης ως αναδυόμενη στρατηγική αποφυγής

Μία από τις πιο σημαντικές πτυχές της εκστρατείας είναι η σκόπιμη χρήση ενός προγράμματος περιήγησης ιστού ως κύριου περιβάλλοντος εκτέλεσης για το backdoor. Αυτή η προσέγγιση υπογραμμίζει μια αυξανόμενη τάση κατά την οποία οι εισβολείς επαναχρησιμοποιούν νόμιμο λογισμικό για να αποφύγουν τον εντοπισμό.

Τα προγράμματα περιήγησης παρέχουν πολλά πλεονεκτήματα για κακόβουλες λειτουργίες. Χρησιμοποιούνται ευρέως και συνήθως θεωρούνται καλοήθεις διεργασίες, μειώνοντας την πιθανότητα άμεσης υποψίας. Επιπλέον, οι παράμετροι εντοπισμού σφαλμάτων του προγράμματος περιήγησης μπορούν να ξεκλειδώσουν ισχυρές δυνατότητες που επιτρέπουν ενέργειες που διαφορετικά θα περιορίζονταν, όπως απομακρυσμένες λήψεις αρχείων και εκτεταμένη πρόσβαση στο σύστημα.

Επιπλέον, τα προγράμματα περιήγησης διατηρούν νόμιμα δικαιώματα για αλληλεπίδραση με ευαίσθητους πόρους υλικού, συμπεριλαμβανομένων μικροφώνων, καμερών και μηχανισμών καταγραφής οθόνης, γεγονός που επιτρέπει στους εισβολείς να εκτελούν δραστηριότητες επιτήρησης ενώ παράλληλα ενσωματώνονται στην κανονική συμπεριφορά του συστήματος.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής

DRILLAPP Backdoor

Παραπλανητικά δολώματα και μέθοδος αρχικής μόλυνσης

Εκμετάλλευση παραμέτρων προγράμματος περιήγησης για μυστική πρόσβαση

Δυνατότητες Backdoor και Επιτήρησης που βασίζονται σε πρόγραμμα περιήγησης

Εξελισσόμενες Τεχνικές στη Δεύτερη Παραλλαγή Εκστρατείας

Παράκαμψη περιορισμών JavaScript με εργαλεία εντοπισμού σφαλμάτων Chromium

Δείκτες Πρώιμης Ανάπτυξης και Πειραματική Υποδομή

Κατάχρηση προγραμμάτων περιήγησης ως αναδυόμενη στρατηγική αποφυγής

Υποβάλετε σχόλιο

Τάσεις

Tarwils.com

Precludestore.com

Beringlousnet.com

Περισσότερες εμφανίσεις

Eporner.com

XHAMSTER Ransomware

Fuq.com