הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית דלת אחורית של DRILLAPP

דלת אחורית של DRILLAPP

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

אנליסטים של אבטחת סייבר זיהו קמפיין איום חדש המכוון לארגונים אוקראינים, עם אינדיקטורים המצביעים על מעורבות של גורמים הקשורים לרוסיה. הפעילות, שנצפתה לראשונה בפברואר 2026, מראה חפיפות טכניות עם מבצע קודם המיוחס לקבוצה המכונה Laundry Bear (שאותו מעקב גם UAC-0190 או Void Blizzard). קמפיין קודם זה כיוון לכוחות ההגנה האוקראיניים ופרס משפחת תוכנות זדוניות בשם PLUGGYAPE.

הפעולה האחרונה מציגה דלת אחורית מבוססת JavaScript המופעלת דרך דפדפן Microsoft Edge. הנוזקה, המכונה על ידי חוקרים DRILLAPP, נועדה לנצל את יכולות הדפדפן על מנת להעלות ולהוריד קבצים, לגשת למיקרופון וללכוד תמונות ממצלמת הרשת של הקורבן.

תוקפים מסתמכים על טקטיקות של הנדסה חברתית כדי להפיץ את הרכיבים הזדוניים. פיתיונות המתייחסים לעניינים משפטיים או למטרות צדקה משמשים כדי לעודד קורבנות לפתוח קבצים זדוניים וליזום את שרשרת ההדבקה.

פיתיונות מטעים ושיטת הדבקה ראשונית

הקמפיין נצפה בשני גרסאות שונות. הגרסה הראשונה, שזוהתה בתחילת פברואר 2026, משתמשת בקובץ קיצור דרך של Windows (LNK) כמנגנון המסירה הראשוני. לאחר ההפעלה, קיצור הדרך יוצר קובץ יישום HTML (HTA) בתוך הספרייה הזמנית של המערכת. קובץ HTA זה מאחזר לאחר מכן סקריפט מרוחק המתארח בשירות שיתוף ההדבקה הלגיטימי Pastefy.

כדי לשמור על עמידות במערכות פגועות, התוקפים מעתיקים את קובץ ה-LNK הזדוני לתיקיית ההפעלה של Windows, ומבטיחים שהוא יפעל אוטומטית לאחר כל אתחול מחדש של המערכת. לאחר תחילת שרשרת ההדבקה, מוצגות לקורבנות כתובות URL המכילות ערכות נושא של פיתיון, כולל הוראות הקשורות להתקנת Starlink או הפניות לארגון הצדקה האוקראיני Come Back Alive Foundation.

קובץ ה-HTA מופעל בסופו של דבר דרך דפדפן Microsoft Edge הפועל במצב headless, מה שמאפשר לדפדפן להריץ את הסקריפט המעורפל שאוחזר מ-Pastefy מבלי להציג חלון דפדפן סטנדרטי.

ניצול פרמטרי דפדפן לגישה חשאית

כדי למקסם את יכולותיו, התהליך הזדוני מפעיל את דפדפן Edge עם פרמטרים מרובים המחלישים את הגנות האבטחה המובנות ומאפשרים גישה בלתי מורשית למשאבי מערכת רגישים.

פרמטרים אלה מאפשרים למופע הדפדפן לעקוף אמצעי הגנה אופייניים ולבצע פעולות המוגבלות בדרך כלל על ידי מודלי אבטחת דפדפן. התצורה מאפשרת למעשה לתוכנה הזדונית לגשת לקבצים מקומיים, ללכוד זרמי אודיו ווידאו ולהקליט פעילות מסך מבלי לדרוש כל התערבות מצד הקורבן.

פרמטרי הדפדפן המרכזיים ששימשו בהתקפה כוללים:

--ללא ארגז חול

--השבתת אבטחת אינטרנט

--אפשר-גישה-לקבצים-מקבצים

--השתמש-בממשק-שלישי-מזויף-עבור-זרם-מדיה

--בחירה-אוטומטית-מקור-לכידת-מסך=true

--השבתת אבטחת מדיה של המשתמש

על ידי שימוש לרעה בהגדרות אלו, הדפדפן הופך לרכיב פונקציונלי בתשתית הנוזקה ולא רק לפלטפורמת אספקה.

יכולות מעקב ודלת אחורית מבוססות דפדפן

חפץ DRILLAPP מתפקד כדלת אחורית קלת משקל אך רב-תכליתית. לאחר פעילותו, הוא מאפשר לתוקפים לתקשר עם המערכת הנגועה באמצעות יכולות התומכות בדפדפן, ובכך להפוך את הדפדפן לכלי מעקב מרחוק.

הנוזקה מסוגלת לבצע מספר פעולות המאפשרות ניטור נרחב ואיסוף נתונים ממכשירים שנפגעו.

יכולות ליבה כוללות:

  • העלאה והורדה של קבצים מהמערכת המקומית
  • לכידת אודיו דרך המיקרופון של המכשיר
  • הקלטת וידאו דרך מצלמת הרשת
  • צילום צילומי מסך של תצוגת המערכת
  • יצירת טביעת אצבע ייחודית של מכשיר באמצעות טכניקות טביעת אצבע על קנבס

במהלך ההפעלה הראשונה שלה, הנוזקה מייצרת טביעת אצבע של המכשיר ומשתמשת ב-Pastefy כ-'dead-drop resolver' כדי לאחזר כתובת WebSocket המשמשת לתקשורת פיקוד ובקרה. ארכיטקטורה זו מאפשרת לתוקפים להפנות באופן דינמי מערכות נגועות לתשתית התפעולית שלהן.

הדלת האחורית משדרת גם את טביעת האצבע של המכשיר לצד המיקום הגיאוגרפי המשוער של הקורבן. המיקום נקבע על סמך אזור הזמן של המערכת ונבדק מול רשימה מוגדרת מראש הכוללת את בריטניה, רוסיה, גרמניה, צרפת, סין, יפן, ארצות הברית, ברזיל, הודו, אוקראינה, קנדה, אוסטרליה, איטליה, ספרד ופולין. אם אזור הזמן אינו תואם לאף אחד מהאזורים הללו, התוכנה הזדונית מזהה כברירת מחדל את המערכת כממוקמת בארצות הברית.

טכניקות מתפתחות בגרסה השנייה של הקמפיין

גרסה שנייה של הקמפיין הופיעה בסוף פברואר 2026, והציגה מספר שינויים תוך שמירה על מבנה ההתקפה הכללי. במקום להסתמך על קבצי קיצור דרך של LNK, הגרסה המעודכנת משתמשת במודולים של לוח הבקרה של Windows כמנגנון האספקה הראשוני.

רכיב הדלת האחורית עצמו קיבל גם הוא שדרוגים פונקציונליים. שיפורים אלה מאפשרים לתוכנה הזדונית לבצע פעולות מערכת קבצים עמוקות יותר ולשפר את יכולתה לחלץ נתונים מסביבות נגועות.

שיפורים בולטים כוללים ספירת קבצים רקורסיבית, העלאות קבצי אצווה ויכולת להוריד קבצים שרירותיים ישירות למערכת הפגועה.

עקיפת מגבלות JavaScript בעזרת כלי ניפוי שגיאות של Chromium

הגבלות אבטחה סטנדרטיות של JavaScript בדרך כלל מונעות מקוד מרחוק להוריד קבצים ישירות למערכת של הקורבן. כדי לעקוף מגבלה זו, התוקפים מנצלים את פרוטוקול Chrome DevTools (CDP), ממשק ניפוי שגיאות פנימי המשמש דפדפנים מבוססי Chromium.

ניתן לגשת ל-CDP רק כאשר הדפדפן מופעל כאשר הפרמטר --remote-debugging-port מופעל. על ידי הפעלת פונקציונליות ניפוי שגיאות זו, התוקפים מקבלים את היכולת לשלוט בהתנהגות הדפדפן באופן תכנותי ולעקוף מגבלות צד הלקוח הרגילות, מה שמאפשר הורדות קבצים מרחוק שאחרת היו חסומות.

אינדיקטורים מוקדמים לפיתוח ותשתית ניסיונית

ראיות מצביעות על כך שהנוזקה עדיין נמצאת בפיתוח פעיל. גרסה מוקדמת שהתגלתה בטבע ב-28 בינואר 2026, תקשרה באופן בלעדי עם הדומיין 'gnome.com' במקום לאחזר את המטען העיקרי שלה מ-Pastefy.

התנהגות זו מצביעה על כך שגורמי האיום עדיין עשויים לשפר הן את התשתית שלהם והן את היכולות המבצעיות של הדלת האחורית.

שימוש לרעה בדפדפנים כאסטרטגיית התחמקות מתפתחת

אחד ההיבטים המשמעותיים ביותר של הקמפיין הוא השימוש המכוון בדפדפן אינטרנט כסביבת הביצוע העיקרית של הדלת האחורית. גישה זו מדגישה מגמה הולכת וגוברת שבה תוקפים משתמשים מחדש בתוכנות לגיטימיות כדי להתחמק מגילוי.

דפדפנים מספקים מספר יתרונות לפעולות זדוניות. הם נמצאים בשימוש נרחב ונחשבים בדרך כלל לתהליכים שפירים, מה שמפחית את הסבירות לחשד מיידי. בנוסף, פרמטרים של ניפוי שגיאות בדפדפן יכולים לפתוח יכולות עוצמתיות המאפשרות פעולות מוגבלות אחרת, כגון הורדות קבצים מרחוק וגישה נרחבת למערכת.

יתר על כן, דפדפנים שומרים על הרשאות לגיטימיות לתקשר עם משאבי חומרה רגישים, כולל מיקרופונים, מצלמות ומנגנוני לכידת מסך, מה שמאפשר לתוקפים לבצע פעילויות מעקב תוך שילוב בהתנהגות המערכת הרגילה.

מגמות

הכי נצפה

טוען...