DRILLAPP-takaovi

Kyberturvallisuusanalyytikot ovat tunnistaneet uuden uhkakampanjan, joka kohdistuu ukrainalaisiin organisaatioihin. Viitteet viittaavat Venäjään kytköksissä olevien toimijoiden osallisuuteen. Toiminta, joka havaittiin ensimmäisen kerran helmikuussa 2026, osoittaa teknisiä päällekkäisyyksiä aiemman operaation kanssa, johon on liitetty Laundry Bear -niminen ryhmä (myös UAC-0190 tai Void Blizzard). Aiempi kampanja kohdistui Ukrainan puolustusvoimiin ja käytti PLUGGYAPE-nimistä haittaohjelmaperhettä.

Uusin operaatio esittelee JavaScript-pohjaisen takaoven, joka suoritetaan Microsoft Edge -selaimen kautta. Haittaohjelma, jota tutkijat kutsuvat nimellä DRILLAPP, on suunniteltu hyödyntämään selaimen ominaisuuksia tiedostojen lataamiseen ja lähettämiseen, mikrofonin käyttämiseen ja kuvien kaappaamiseen uhrin web-kamerasta.

Hyökkääjät käyttävät sosiaalisen manipuloinnin taktiikoita levittääkseen haitallisia komponentteja. Oikeudellisiin asioihin tai hyväntekeväisyyteen viittaavia houkuttimia käytetään kannustamaan uhreja avaamaan haitallisia tiedostoja ja aloittamaan tartuntaketju.

Petolliset syötit ja alkuperäinen tartuntamenetelmä

Kampanjaa on havaittu kahtena eri muunnelmana. Ensimmäinen versio, joka havaittiin helmikuun alussa 2026, käyttää Windowsin pikakuvaketta (LNK) alkuperäisenä toimitustapana. Suoritettaessa pikakuvake luo HTML-sovellustiedoston (HTA) järjestelmän väliaikaiseen hakemistoon. Tämä HTA-tiedosto hakee sitten etäkomentosarjan, jota isännöidään laillisessa Pastefy-liitäntöjen jakopalvelussa.

Jotta haitallinen LNK-tiedosto pysyisi alttiina tartunnan saaneille järjestelmille, hyökkääjät kopioivat haitallisen LNK-tiedoston Windowsin käynnistyskansioon varmistaen, että se suoritetaan automaattisesti jokaisen järjestelmän uudelleenkäynnistyksen jälkeen. Kun tartuntaketju alkaa, uhreille näytetään URL-osoitteita, jotka sisältävät houkutuskuvia, mukaan lukien Starlinkin asennusohjeet tai viittauksia ukrainalaiseen hyväntekeväisyysjärjestöön Come Back Alive Foundation.

HTA-tiedosto käynnistyy lopulta Microsoft Edge -selaimen kautta headless-tilassa, jolloin selain voi suorittaa Pastefysta noudetun hämärretyn komentosarjan näyttämättä tavallista selainikkunaa.

Selainparametrien hyödyntäminen piilotettuun käyttöön

Maksimoidakseen kykynsä haitallinen prosessi käynnistää Edge-selaimen useilla parametreilla, jotka heikentävät sisäänrakennettuja suojauksia ja mahdollistavat luvattoman pääsyn arkaluontoisiin järjestelmäresursseihin.

Näiden parametrien avulla selain voi ohittaa tyypilliset suojaustoimet ja suorittaa toimintoja, joita selaimen suojausmallit normaalisti rajoittavat. Kokoonpano mahdollistaa haittaohjelman tehokkaasti paikallisten tiedostojen käytön, ääni- ja videostriimien tallentamisen ja näytön toiminnan tallentamisen ilman uhrin toimia.

Hyökkäyksessä käytettyjä keskeisiä selainparametreja ovat:

--ei-hiekkalaatikkoa

--disable-web-security

--allow-file-access-from-file-subscription

--use-fake-ui-for-mediastream

--automaattinen-näytönkaappauksen-lähteen-valinta=true

--disable-user-media-security

Näiden asetusten väärinkäyttö tekee selaimesta haittaohjelmainfrastruktuurin toiminnallisen osan pelkän jakelualustan sijaan.

Selainpohjaiset takaportit ja valvontaominaisuudet

DRILLAPP-artefakti toimii kevyenä mutta monipuolisena takaporttina. Kun se on aktiivinen, hyökkääjät voivat olla vuorovaikutuksessa tartunnan saaneen järjestelmän kanssa selainpohjaisten ominaisuuksien kautta, mikä muuttaa selaimen tehokkaasti etävalvontatyökaluksi.

Haittaohjelma pystyy suorittamaan useita toimintoja, jotka mahdollistavat laajan valvonnan ja tiedonkeruun vaarantuneilta laitteilta.

Ydinominaisuuksiin kuuluvat:

• Tiedostojen lataaminen paikallisesta järjestelmästä ja lataaminen sieltä
• Äänen tallentaminen laitteen mikrofonin kautta
• Videon tallentaminen web-kameran kautta
• Järjestelmän näytön kuvakaappausten ottaminen
• Yksilöllisen laitteen sormenjäljen luominen kankaalle otettavien sormenjälkien avulla

Ensimmäisen suorituksensa aikana haittaohjelma luo laitteen sormenjäljen ja käyttää Pastefyä "kuolleen pudotuksen ratkaisijana" noutaakseen komento- ja ohjausviestinnässä käytettävän WebSocket-osoitteen. Tämä arkkitehtuuri mahdollistaa hyökkääjien uudelleenohjata tartunnan saaneet järjestelmät dynaamisesti operatiiviseen infrastruktuuriinsa.

Takaovi lähettää myös laitteen sormenjäljen uhrin päätellyn maantieteellisen sijainnin ohella. Sijainti määritetään järjestelmän aikavyöhykkeestä ja tarkistetaan ennalta määritettyä luetteloa vasten, joka sisältää Yhdistyneen kuningaskunnan, Venäjän, Saksan, Ranskan, Kiinan, Japanin, Yhdysvallat, Brasilian, Intian, Ukrainan, Kanadan, Australian, Italian, Espanjan ja Puolan. Jos aikavyöhyke ei vastaa mitään näistä alueista, haittaohjelma tunnistaa järjestelmän oletusarvoisesti Yhdysvalloissa sijaitsevaksi.

Kehittyviä tekniikoita toisessa kampanjamuunnelmassa

Kampanjan toinen versio julkaistiin helmikuun lopulla 2026, ja siinä tehtiin useita muutoksia säilyttäen samalla hyökkäyksen yleisen rakenteen. LNK-pikakuvakkeisiin luottamisen sijaan päivitetyssä versiossa käytetään Windowsin Ohjauspaneelin moduuleja alkuperäisenä toimitusmekanismina.

Myös itse takaporttikomponentti sai toiminnallisia päivityksiä. Näiden parannusten ansiosta haittaohjelma voi suorittaa syvällisempiä tiedostojärjestelmätoimintoja ja parantaa sen kykyä vuotaa tietoja tartunnan saaneista ympäristöistä.

Merkittäviä parannuksia ovat rekursiivinen tiedostojen luettelointi, eräajotiedostojen lataukset ja mahdollisuus ladata mielivaltaisia tiedostoja suoraan vaarantuneeseen järjestelmään.

JavaScript-rajoitusten ohittaminen Chromium-virheenkorjaustyökaluilla

Tavalliset JavaScript-tietoturvarajoitukset estävät tyypillisesti etäkoodia lataamasta tiedostoja suoraan uhrin järjestelmään. Tämän rajoituksen kiertämiseksi hyökkääjät hyödyntävät Chrome DevTools Protocol (CDP) -protokollaa, joka on Chromium-pohjaisten selainten käyttämä sisäinen virheenkorjausrajapinta.

CDP:hen pääsee käsiksi vain, kun selain käynnistetään ja --remote-debugging-port-parametri on käytössä. Aktivoimalla tämän virheenkorjaustoiminnon hyökkääjät voivat hallita selaimen toimintaa ohjelmallisesti ja ohittaa tyypillisiä asiakaspuolen rajoituksia, mikä mahdollistaa tiedostojen etälataukset, jotka muuten estyisivät.

Varhaisen kehityksen indikaattorit ja kokeellinen infrastruktuuri

Todisteet viittaavat siihen, että haittaohjelma on edelleen aktiivisessa kehityksessä. Varhainen variantti, joka löydettiin luonnosta 28. tammikuuta 2026, kommunikoi yksinomaan 'gnome.com'-verkkotunnuksen kanssa sen sijaan, että se olisi hakenut ensisijaisen hyötykuormansa Pastefyltä.

Tämä käyttäytyminen viittaa siihen, että uhkatoimijat saattavat edelleen hioa sekä infrastruktuuriaan että takaoven operatiivisia ominaisuuksia.

Selainten väärinkäyttö nousevana hyökkäysstrategiana

Yksi kampanjan merkittävimmistä näkökohdista on verkkoselaimen tarkoituksellinen käyttö takaoven ensisijaisena suoritusympäristönä. Tämä lähestymistapa korostaa kasvavaa trendiä, jossa hyökkääjät käyttävät laillisia ohjelmistoja uudelleen välttääkseen havaitsemisen.

Selaimet tarjoavat useita etuja haitallisille toimille. Niitä käytetään laajalti ja niitä pidetään tyypillisesti hyvänlaatuisina prosesseina, mikä vähentää välittömän epäilyn todennäköisyyttä. Lisäksi selaimen virheenkorjausparametrit voivat avata tehokkaita ominaisuuksia, jotka mahdollistavat muuten rajoitettuja toimintoja, kuten tiedostojen etälatauksia ja laajan järjestelmän käytön.

Lisäksi selaimilla on lailliset käyttöoikeudet olla vuorovaikutuksessa arkaluonteisten laitteistoresurssien, kuten mikrofonien, kameroiden ja näytönkaappausmekanismien, kanssa, mikä antaa hyökkääjille mahdollisuuden suorittaa valvontatoimia samalla kun ne sulautuvat normaaliin järjestelmän toimintaan.