Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara DRILLAPP tagauks

DRILLAPP tagauks

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT), Tagauksed
Tõlgi:

Küberjulgeolekuanalüütikud on tuvastanud uue ohukampaania, mis on suunatud Ukraina organisatsioonidele ning mille näitajad viitavad Venemaaga seotud osaliste osalemisele. Tegevus, mida esmakordselt täheldati 2026. aasta veebruaris, näitab tehnilisi kattumisi varasema operatsiooniga, mida omistati rühmitusele nimega Laundry Bear (mida jälgitakse ka kui UAC-0190 või Void Blizzard). See varasem kampaania oli suunatud Ukraina kaitseväele ja kasutas pahavara perekonda nimega PLUGGYAPE.

Viimane operatsioon tutvustab JavaScriptil põhinevat tagaust, mis käivitatakse Microsoft Edge'i brauseri kaudu. Pahavara, mida teadlased nimetavad DRILLAPP-iks, on loodud brauseri võimaluste ärakasutamiseks failide üles- ja allalaadimiseks, mikrofonile juurdepääsuks ning ohvri veebikaamerast piltide jäädvustamiseks.

Ründajad kasutavad pahatahtlike komponentide levitamiseks sotsiaalse manipuleerimise taktikaid. Õigusküsimustele või heategevuslikele eesmärkidele viitavaid peibutisi kasutatakse ohvrite julgustamiseks pahatahtlikke faile avama ja nakkusahelat alustama.

Petlikud söödad ja esialgne nakatumismeetod

Kampaaniat on täheldatud kahes erinevas variandis. Esimene versioon, mis avastati 2026. aasta veebruari alguses, kasutab esmase edastusmehhanismina Windowsi otseteefaili (LNK). Käivitamisel loob otsetee süsteemi ajutises kataloogis HTML-rakenduse (HTA) faili. See HTA-fail laadib seejärel alla legitiimse kleepimise jagamise teenuse Pastefy serveris oleva skripti.

Ohustatud süsteemides püsivuse säilitamiseks kopeerivad ründajad pahatahtliku LNK-faili Windowsi käivituskausta, tagades selle automaatse käivitumise pärast iga süsteemi taaskäivitamist. Kui nakatumisahel algab, kuvatakse ohvritele URL-id, mis sisaldavad peibutusteemasid, sealhulgas Starlinki installimise juhiseid või viiteid Ukraina heategevusorganisatsioonile Come Back Alive Foundation.

HTA-fail käivitub lõpuks Microsoft Edge'i brauseri kaudu, mis töötab peata režiimis, võimaldades brauseril käivitada Pastefyst hangitud hägustatud skripti ilma standardset brauseriakent kuvamata.

Brauseri parameetrite ärakasutamine varjatud juurdepääsu saamiseks

Oma võimete maksimeerimiseks käivitab pahatahtlik protsess Edge'i brauseri mitme parameetriga, mis nõrgestavad sisseehitatud turvakaitset ja võimaldavad volitamata juurdepääsu tundlikele süsteemiressurssidele.

Need parameetrid võimaldavad brauseri eksemplaril mööda hiilida tüüpilistest kaitsemeetmetest ja sooritada toiminguid, mida brauseri turbemudelid tavaliselt piiravad. See konfiguratsioon võimaldab pahavaral sisuliselt juurde pääseda kohalikele failidele, jäädvustada heli- ja videovooge ning salvestada ekraanitegevust ilma ohvri sekkumist nõudmata.

Rünnakus kasutatavate brauseri peamiste parameetrite hulka kuuluvad:

--liivakasti puudumine

--keela veebiturvalisus

--luba-failidele-juurdepääs-failidest

--use-fake-ui-for-media-stream

--automaatse ekraanipildi jäädvustamise allika valimine=true

--disable-user-media-security

Nende seadete kuritarvitamise tõttu muutub brauser pahavara infrastruktuuri funktsionaalseks komponendiks, mitte pelgalt edastusplatvormiks.

Brauseripõhised tagauksed ja jälgimisvõimalused

DRILLAPP-i artefakt toimib kerge, kuid mitmekülgse tagauksena. Kui see on aktiivne, võimaldab see ründajatel nakatunud süsteemiga suhelda brauseripõhiste funktsioonide kaudu, muutes brauseri sisuliselt kaugjälgimisvahendiks.

Pahavara on võimeline teostama mitmeid toiminguid, mis võimaldavad ulatuslikku jälgimist ja andmete kogumist ohustatud seadmetest.

Põhivõimaluste hulka kuuluvad:

  • Failide üles- ja allalaadimine kohalikust süsteemist
  • Heli salvestamine seadme mikrofoni kaudu
  • Video salvestamine veebikaamera kaudu
  • Süsteemi ekraanipiltide tegemine
  • Unikaalse seadme sõrmejälje genereerimine lõuendi sõrmejälgede võtmise tehnikate abil

Esimese käivituse ajal genereerib pahavara seadme sõrmejälje ja kasutab Pastefyt „surnud kohtade lahendajana“, et hankida käskluste ja juhtimissuhtluseks kasutatavat WebSocketi aadressi. See arhitektuur võimaldab ründajatel nakatunud süsteeme dünaamiliselt oma operatiivsele infrastruktuurile suunata.

Tagauks edastab lisaks ohvri oletatavale geograafilisele asukohale ka seadme sõrmejälje. Asukoht määratakse süsteemi ajavööndi põhjal ja seda kontrollitakse eelnevalt määratletud loendi alusel, mis sisaldab Ühendkuningriiki, Venemaad, Saksamaad, Prantsusmaad, Hiinat, Jaapanit, Ameerika Ühendriike, Brasiiliat, Indiat, Ukrainat, Kanadat, Austraaliat, Itaaliat, Hispaaniat ja Poolat. Kui ajavöönd ei vasta ühelegi neist piirkondadest, tuvastab pahavara vaikimisi süsteemi asukohaks Ameerika Ühendriigid.

Arenevad tehnikad teises kampaaniavariandis

Kampaania teine versioon ilmus 2026. aasta veebruari lõpus, tehes mitmeid muudatusi, säilitades samal ajal üldise rünnakustruktuuri. LNK otseteefailidele lootmise asemel kasutab uuendatud variant esmase edastusmehhanismina Windowsi juhtpaneeli mooduleid.

Ka tagaukse komponent ise sai funktsionaalseid täiustusi. Need täiustused võimaldavad pahavaral teha sügavamaid failisüsteemi toiminguid ja parandavad selle võimet nakatunud keskkondadest andmeid välja filtreerida.

Märkimisväärsete täiustuste hulka kuuluvad rekursiivne failide loendamine, partiifailide üleslaadimine ja võimalus laadida suvalisi faile otse kahjustatud süsteemi.

JavaScripti piirangute möödahiilimine Chromiumi silumistööriistadega

Standardsed JavaScripti turvapiirangud takistavad tavaliselt kaugkoodil failide otse ohvri süsteemi allalaadimist. Selle piirangu vältimiseks kasutavad ründajad Chrome DevTools protokolli (CDP), mis on Chromiumi-põhiste brauserite sisemine silumisliides.

CDP-le pääseb ligi ainult siis, kui brauser käivitatakse ja parameeter --remote-debugging-port on lubatud. Selle silumisfunktsiooni aktiveerimisega saavad ründajad võimaluse brauseri käitumist programmiliselt juhtida ja tüüpilistest kliendipoolsetest piirangutest mööda hiilida, võimaldades failide kaugallalaadimist, mis muidu blokeeritaks.

Varajase arenduse näitajad ja eksperimentaalne infrastruktuur

Tõendid viitavad sellele, et pahavara on endiselt aktiivses arendusjärgus. Varajane variant, mis avastati looduses 28. jaanuaril 2026, suhtles ainult domeeniga 'gnome.com', selle asemel et oma peamist kasulikku infot Pastefy'lt hankida.

See käitumine viitab sellele, et ohutegijad võivad endiselt täiustada nii oma infrastruktuuri kui ka tagaukse operatiivseid võimeid.

Brauseri kuritarvitamine kui tekkiv kõrvalehoidumisstrateegia

Kampaania üks olulisemaid aspekte on veebibrauseri tahtlik kasutamine tagaukse peamise teostuskeskkonnana. See lähenemisviis rõhutab kasvavat trendi, kus ründajad kasutavad legitiimset tarkvara ümber, et avastamist vältida.

Brauserid pakuvad pahatahtlike toimingute jaoks mitmeid eeliseid. Neid kasutatakse laialdaselt ja peetakse tavaliselt healoomulisteks protsessideks, mis vähendab kohese kahtluse tõenäosust. Lisaks saavad brauseri silumisparameetrid avada võimsad funktsioonid, mis võimaldavad muidu piiratud toiminguid, näiteks failide kaugallalaadimist ja ulatuslikku süsteemijuurdepääsu.

Lisaks säilitavad brauserid seaduslikud õigused tundlike riistvararessurssidega, sealhulgas mikrofonide, kaamerate ja ekraanipildi mehhanismidega suhtlemiseks, mis võimaldab ründajatel teostada jälgimistegevusi, sulandudes samal ajal tavapärase süsteemikäitumisega.

Trendikas

Enim vaadatud

Laadimine...