قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار درِ پشتیِ DRILLAPP

درِ پشتیِ DRILLAPP

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

تحلیلگران امنیت سایبری یک کمپین تهدید جدید را شناسایی کرده‌اند که سازمان‌های اوکراینی را هدف قرار داده است و نشانه‌هایی از دخالت بازیگران مرتبط با روسیه در آن دیده می‌شود. این فعالیت که اولین بار در فوریه ۲۰۲۶ مشاهده شد، همپوشانی‌های فنی با عملیات قبلی منتسب به گروهی به نام Laundry Bear (که با نام UAC-0190 یا Void Blizzard نیز ردیابی می‌شود) را نشان می‌دهد. آن کمپین قبلی نیروهای دفاعی اوکراین را هدف قرار داده و یک خانواده بدافزار به نام PLUGGYAPE را مستقر کرده بود.

آخرین عملیات، یک درِ پشتی مبتنی بر جاوا اسکریپت را معرفی می‌کند که از طریق مرورگر مایکروسافت اج اجرا می‌شود. این بدافزار که محققان آن را DRILLAPP می‌نامند، به گونه‌ای طراحی شده است که از قابلیت‌های مرورگر برای آپلود و دانلود فایل‌ها، دسترسی به میکروفون و ضبط تصاویر از وب‌کم قربانی سوءاستفاده کند.

مهاجمان برای توزیع اجزای مخرب به تاکتیک‌های مهندسی اجتماعی متکی هستند. از فریب‌هایی با ارجاع به امور حقوقی یا امور خیریه برای تشویق قربانیان به باز کردن فایل‌های مخرب و آغاز زنجیره آلودگی استفاده می‌شود.

فریب‌های فریبنده و روش آلوده‌سازی اولیه

این کمپین در دو نوع مجزا مشاهده شده است. نسخه اول که در اوایل فوریه 2026 شناسایی شد، از یک فایل میانبر ویندوز (LNK) به عنوان مکانیزم اولیه توزیع استفاده می‌کند. هنگام اجرا، این میانبر یک فایل HTML Application (HTA) را در دایرکتوری موقت سیستم ایجاد می‌کند. سپس این فایل HTA یک اسکریپت از راه دور را که در سرویس اشتراک‌گذاری قانونی Paste به نام Pastefy میزبانی می‌شود، بازیابی می‌کند.

برای حفظ پایداری در سیستم‌های آسیب‌دیده، مهاجمان فایل مخرب LNK را در پوشه‌ی راه‌اندازی ویندوز کپی می‌کنند و اطمینان حاصل می‌کنند که پس از هر بار راه‌اندازی مجدد سیستم، به‌طور خودکار اجرا می‌شود. پس از شروع زنجیره‌ی آلودگی، به قربانیان URLهایی حاوی تم‌های فریبنده، از جمله دستورالعمل‌های مربوط به نصب Starlink یا ارجاعات به بنیاد خیریه‌ی اوکراینی Come Back Alive ارائه می‌شود.

فایل HTA در نهایت از طریق مرورگر Microsoft Edge که در حالت headless کار می‌کند، اجرا می‌شود و به مرورگر اجازه می‌دهد اسکریپت مبهم‌سازی‌شده‌ی بازیابی‌شده از Pastefy را بدون نمایش یک پنجره‌ی استاندارد مرورگر اجرا کند.

سوءاستفاده از پارامترهای مرورگر برای دسترسی مخفیانه

برای به حداکثر رساندن قابلیت‌های خود، این فرآیند مخرب مرورگر Edge را با پارامترهای متعددی راه‌اندازی می‌کند که حفاظت‌های امنیتی داخلی را تضعیف کرده و دسترسی غیرمجاز به منابع حساس سیستم را امکان‌پذیر می‌سازد.

این پارامترها به نمونه مرورگر اجازه می‌دهند تا از اقدامات حفاظتی معمول عبور کند و اقداماتی را انجام دهد که معمولاً توسط مدل‌های امنیتی مرورگر محدود شده‌اند. این پیکربندی به طور مؤثر به بدافزار امکان می‌دهد تا بدون نیاز به هیچ تعاملی از سوی قربانی، به فایل‌های محلی دسترسی پیدا کند، جریان‌های صوتی و تصویری را ضبط کند و فعالیت‌های صفحه نمایش را ضبط کند.

پارامترهای کلیدی مرورگر مورد استفاده در این حمله عبارتند از:

--بدون سندباکس

--غیرفعال کردن-امنیت-وب

--اجازه دسترسی به فایل از فایل‌ها

--استفاده از رابط کاربری جعلی برای پخش رسانه‌ای

--انتخاب خودکار-صفحه-ضبط-منبع=true

--غیرفعال کردن-امنیت-رسانه-کاربر

با سوءاستفاده از این تنظیمات، مرورگر به جای صرفاً یک پلتفرم توزیع، به یک جزء عملکردی از زیرساخت بدافزار تبدیل می‌شود.

قابلیت‌های نظارتی و بک‌دور مبتنی بر مرورگر

ابزار DRILLAPP به عنوان یک درِ پشتی سبک اما همه‌کاره عمل می‌کند. پس از فعال شدن، مهاجمان را قادر می‌سازد تا از طریق قابلیت‌های فعال‌شده توسط مرورگر، با سیستم آلوده تعامل داشته باشند و عملاً مرورگر را به یک ابزار نظارت از راه دور تبدیل کنند.

این بدافزار قادر به انجام چندین عملیات است که امکان نظارت گسترده و جمع‌آوری داده‌ها از دستگاه‌های آسیب‌دیده را فراهم می‌کند.

قابلیت‌های اصلی عبارتند از:

  • آپلود و دانلود فایل‌ها از سیستم محلی
  • ضبط صدا از طریق میکروفون دستگاه
  • ضبط ویدیو از طریق وب کم
  • گرفتن اسکرین شات از صفحه نمایش سیستم
  • تولید اثر انگشت منحصر به فرد دستگاه با استفاده از تکنیک‌های اثر انگشت بوم

این بدافزار در اولین اجرا، یک اثر انگشت دستگاه ایجاد می‌کند و از Pastefy به عنوان یک «حل‌کننده‌ی dead-drop» برای بازیابی آدرس WebSocket مورد استفاده برای ارتباطات فرمان و کنترل استفاده می‌کند. این معماری به مهاجمان اجازه می‌دهد تا سیستم‌های آلوده را به صورت پویا به زیرساخت عملیاتی خود هدایت کنند.

این درب پشتی همچنین اثر انگشت دستگاه را به همراه موقعیت جغرافیایی استنباطی قربانی ارسال می‌کند. موقعیت مکانی از طریق منطقه زمانی سیستم تعیین شده و با یک لیست از پیش تعریف شده که شامل بریتانیا، روسیه، آلمان، فرانسه، چین، ژاپن، ایالات متحده، برزیل، هند، اوکراین، کانادا، استرالیا، ایتالیا، اسپانیا و لهستان است، مقایسه می‌شود. اگر منطقه زمانی با هیچ یک از این مناطق مطابقت نداشته باشد، بدافزار به طور پیش‌فرض سیستم را در ایالات متحده شناسایی می‌کند.

تکنیک‌های در حال تکامل در نوع دوم کمپین

نسخه دوم این کمپین در اواخر فوریه ۲۰۲۶ ظاهر شد که ضمن حفظ ساختار کلی حمله، چندین تغییر را معرفی کرد. این نوع به‌روزرسانی‌شده به جای تکیه بر فایل‌های میانبر LNK، از ماژول‌های کنترل پنل ویندوز به عنوان مکانیسم اولیه‌ی انتقال استفاده می‌کند.

خودِ مؤلفه‌ی درِ پشتی نیز ارتقاء عملکردی داشته است. این پیشرفت‌ها به بدافزار اجازه می‌دهد تا عملیات عمیق‌تری در سیستم فایل انجام دهد و توانایی خود را در استخراج داده‌ها از محیط‌های آلوده بهبود بخشد.

پیشرفت‌های قابل توجه شامل شمارش بازگشتی فایل، آپلود دسته‌ای فایل و امکان دانلود مستقیم فایل‌های دلخواه روی سیستم آسیب‌دیده است.

دور زدن محدودیت‌های جاوا اسکریپت با ابزارهای اشکال‌زدایی کرومیوم

محدودیت‌های امنیتی استاندارد جاوا اسکریپت معمولاً از دانلود مستقیم فایل‌ها توسط کد از راه دور روی سیستم قربانی جلوگیری می‌کنند. برای دور زدن این محدودیت، مهاجمان از پروتکل Chrome DevTools (CDP)، یک رابط اشکال‌زدایی داخلی که توسط مرورگرهای مبتنی بر Chromium استفاده می‌شود، استفاده می‌کنند.

CDP فقط زمانی قابل دسترسی است که مرورگر با پارامتر --remote-debugging-port فعال شده باشد. با فعال کردن این قابلیت اشکال‌زدایی، مهاجمان توانایی کنترل رفتار مرورگر را به صورت برنامه‌نویسی شده و دور زدن محدودیت‌های معمول سمت کلاینت به دست می‌آورند و دانلود فایل‌های از راه دور را که در غیر این صورت مسدود می‌شدند، امکان‌پذیر می‌کنند.

شاخص‌های توسعه اولیه و زیرساخت‌های تجربی

شواهد نشان می‌دهد که این بدافزار هنوز در حال توسعه فعال است. یک نوع اولیه که در ۲۸ ژانویه ۲۰۲۶ کشف شد، منحصراً با دامنه 'gnome.com' ارتباط برقرار می‌کرد و محتوای اصلی خود را از Pastefy بازیابی نمی‌کرد.

این رفتار نشان می‌دهد که عاملان تهدید ممکن است هنوز در حال اصلاح زیرساخت‌های خود و قابلیت‌های عملیاتی درب پشتی باشند.

سوءاستفاده از مرورگر به عنوان یک استراتژی فرار نوظهور

یکی از مهم‌ترین جنبه‌های این کمپین، استفاده عمدی از یک مرورگر وب به عنوان محیط اجرای اصلی برای درب پشتی است. این رویکرد، روند رو به رشدی را نشان می‌دهد که در آن مهاجمان برای جلوگیری از شناسایی، از نرم‌افزارهای قانونی استفاده‌ی مجدد می‌کنند.

مرورگرها مزایای متعددی برای عملیات مخرب ارائه می‌دهند. آن‌ها به طور گسترده مورد استفاده قرار می‌گیرند و معمولاً فرآیندهای بی‌خطری در نظر گرفته می‌شوند و احتمال سوءظن فوری را کاهش می‌دهند. علاوه بر این، پارامترهای اشکال‌زدایی مرورگر می‌توانند قابلیت‌های قدرتمندی را فعال کنند که اقدامات محدود شده دیگری مانند دانلود فایل از راه دور و دسترسی گسترده به سیستم را امکان‌پذیر می‌سازد.

علاوه بر این، مرورگرها مجوزهای قانونی برای تعامل با منابع سخت‌افزاری حساس، از جمله میکروفون‌ها، دوربین‌ها و مکانیسم‌های ضبط صفحه نمایش را حفظ می‌کنند، که به مهاجمان اجازه می‌دهد فعالیت‌های نظارتی را در حالی که با رفتار عادی سیستم ترکیب می‌شوند، انجام دهند.

پرطرفدار

Beringlousnet.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط در هنگام مرور وب دیگر اختیاری نیست، بلکه ضروری است. مجرمان سایبری به طور مداوم تکنیک‌های فریبنده‌ای را برای سوءاستفاده از کاربران بی‌توجه توسعه می‌دهند. وب‌سایت‌های سرکش اغلب به تاکتیک‌های...

پربیننده ترین

بارگذاری...