Ponuda s popustom na više licenci
Baza prijetnji Malware DRILLAPP Stražnja vrata

DRILLAPP Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Analitičari kibernetičke sigurnosti identificirali su novu kampanju prijetnji usmjerenu na ukrajinske organizacije, s pokazateljima koji ukazuju na uključenost aktera povezanih s Rusijom. Aktivnost, prvi put uočena u veljači 2026., pokazuje tehnička preklapanja s prethodnom operacijom koja se pripisuje skupini poznatoj kao Laundry Bear (također praćenoj kao UAC-0190 ili Void Blizzard). Ta ranija kampanja usmjerena je na ukrajinske obrambene snage i implementirala je obitelj zlonamjernog softvera pod nazivom PLUGGYAPE.

Najnovija operacija uvodi JavaScript-bazirani backdoor koji se izvršava putem preglednika Microsoft Edge. Zlonamjerni softver, koji istraživači nazivaju DRILLAPP, dizajniran je za iskorištavanje mogućnosti preglednika kako bi prenosio i preuzimao datoteke, pristupao mikrofonu i snimao slike s web kamere žrtve.

Napadači se oslanjaju na taktike socijalnog inženjeringa za distribuciju zlonamjernih komponenti. Mamci koji se odnose na pravna pitanja ili dobrotvorne svrhe koriste se kako bi se žrtve potaknule na otvaranje zlonamjernih datoteka i pokretanje lanca zaraze.

Varljivi mamci i početna metoda infekcije

Kampanja je uočena u dvije različite varijante. Prva verzija, otkrivena početkom veljače 2026., koristi datoteku prečaca sustava Windows (LNK) kao početni mehanizam isporuke. Kada se izvrši, prečac stvara datoteku HTML aplikacije (HTA) unutar privremenog direktorija sustava. Ova HTA datoteka zatim dohvaća udaljeni skript smješten na legitimnoj usluzi za dijeljenje paste Pastefy.

Kako bi održali postojanost na kompromitiranim sustavima, napadači kopiraju zlonamjernu LNK datoteku u mapu Startup sustava Windows, osiguravajući da se automatski izvršava nakon svakog ponovnog pokretanja sustava. Nakon što započne lanac zaraze, žrtvama se prikazuju URL-ovi koji sadrže mamce, uključujući upute vezane uz instaliranje Starlinka ili reference na ukrajinsku dobrotvornu organizaciju Come Back Alive Foundation.

HTA datoteka se u konačnici pokreće putem preglednika Microsoft Edge koji radi u headless načinu rada, omogućujući pregledniku izvršavanje obfusiranog skripta preuzetog iz Pastefyja bez prikazivanja standardnog prozora preglednika.

Iskorištavanje parametara preglednika za prikriveni pristup

Kako bi maksimizirao svoje mogućnosti, zlonamjerni proces pokreće Edge preglednik s više parametara koji slabe ugrađene sigurnosne zaštite i omogućuju neovlašteni pristup osjetljivim sistemskim resursima.

Ovi parametri omogućuju instanci preglednika da zaobiđe tipične zaštitne mjere i izvrši radnje koje su inače ograničene sigurnosnim modelima preglednika. Konfiguracija učinkovito omogućuje zlonamjernom softveru pristup lokalnim datotekama, snimanje audio i video streamova te snimanje aktivnosti na zaslonu bez potrebe za ikakvom interakcijom žrtve.

Ključni parametri preglednika korišteni u napadu uključuju:

--bez pješčanika

--onemogući-web-sigurnost

--dopusti-pristup-datotekama-iz-datoteka

--use-lažno-sučelje-za-stream-medija

--automatski-odabir-izvora-snimke-zaslona=true

--onemogući-korisničku-medijsku-sigurnost

Zloupotrebom ovih postavki, preglednik postaje funkcionalna komponenta infrastrukture zlonamjernog softvera, a ne samo platforma za isporuku.

Mogućnosti nadzora i stražnjih vrata temeljenih na pregledniku

Artefakt DRILLAPP funkcionira kao lagana, ali svestrana stražnja vrata. Nakon što je aktivan, omogućuje napadačima interakciju sa zaraženim sustavom putem mogućnosti preglednika, učinkovito pretvarajući preglednik u alat za udaljeni nadzor.

Zlonamjerni softver sposoban je izvoditi nekoliko operacija koje omogućuju opsežno praćenje i prikupljanje podataka s kompromitiranih uređaja.

Osnovne mogućnosti uključuju:

  • Prijenos i preuzimanje datoteka s lokalnog sustava
  • Snimanje zvuka putem mikrofona uređaja
  • Snimanje videa putem web kamere
  • Snimanje zaslona prikaza sustava
  • Generiranje jedinstvenog otiska prsta uređaja korištenjem tehnika otiska prsta na platnu

Tijekom prvog izvršavanja, zlonamjerni softver generira otisak prsta uređaja i koristi Pastefy kao 'resolver mrtvih mjesta' za dohvaćanje WebSocket adrese koja se koristi za komunikaciju naredbi i kontrole. Ova arhitektura omogućuje napadačima dinamičko preusmjeravanje zaraženih sustava na njihovu operativnu infrastrukturu.

Stražnja vrata također prenose otisak prsta uređaja uz pretpostavljenu geografsku lokaciju žrtve. Lokacija se određuje iz vremenske zone sustava i provjerava prema unaprijed definiranom popisu koji uključuje Ujedinjeno Kraljevstvo, Rusiju, Njemačku, Francusku, Kinu, Japan, Sjedinjene Američke Države, Brazil, Indiju, Ukrajinu, Kanadu, Australiju, Italiju, Španjolsku i Poljsku. Ako se vremenska zona ne podudara ni s jednom od ovih regija, zlonamjerni softver prema zadanim postavkama identificira sustav kao da se nalazi u Sjedinjenim Američkim Državama.

Razvoj tehnika u drugoj varijanti kampanje

Druga verzija kampanje pojavila se krajem veljače 2026., uvodeći nekoliko modifikacija uz zadržavanje ukupne strukture napada. Umjesto oslanjanja na LNK datoteke prečaca, ažurirana varijanta koristi module upravljačke ploče sustava Windows kao početni mehanizam isporuke.

Sama backdoor komponenta također je dobila funkcionalna poboljšanja. Ova poboljšanja omogućuju zlonamjernom softveru izvođenje dubljih operacija datotečnog sustava i poboljšavaju njegovu sposobnost izvlačenja podataka iz zaraženih okruženja.

Značajna poboljšanja uključuju rekurzivno nabrajanje datoteka, prijenos skupnih datoteka i mogućnost preuzimanja proizvoljnih datoteka izravno na kompromitirani sustav.

Zaobilaženje JavaScript ograničenja pomoću Chromium alata za otklanjanje pogrešaka

Standardna sigurnosna ograničenja JavaScripta obično sprječavaju udaljeni kod da izravno preuzima datoteke na sustav žrtve. Kako bi zaobišli ovo ograničenje, napadači koriste Chrome DevTools Protocol (CDP), interno sučelje za otklanjanje pogrešaka koje koriste preglednici temeljeni na Chromiumu.

CDP-u se može pristupiti samo kada je preglednik pokrenut s omogućenim parametrom --remote-debugging-port. Aktiviranjem ove funkcije otklanjanja pogrešaka, napadači dobivaju mogućnost programske kontrole ponašanja preglednika i zaobilaženja tipičnih ograničenja na strani klijenta, omogućujući udaljeno preuzimanje datoteka koje bi inače bile blokirane.

Pokazatelji ranog razvoja i eksperimentalna infrastruktura

Dokazi upućuju na to da je zlonamjerni softver još uvijek u aktivnom razvoju. Rana varijanta otkrivena u divljini 28. siječnja 2026. komunicirala je isključivo s domenom 'gnome.com' umjesto da preuzima svoj primarni sadržaj od Pastefyja.

Ovakvo ponašanje ukazuje na to da akteri prijetnje možda još uvijek usavršavaju i svoju infrastrukturu i operativne mogućnosti stražnjih vrata.

Zloupotreba preglednika kao nova strategija izbjegavanja

Jedan od najznačajnijih aspekata kampanje je namjerno korištenje web preglednika kao primarnog okruženja za izvršavanje backdoora. Ovaj pristup naglašava rastući trend u kojem napadači prenamjenjuju legitimni softver kako bi izbjegli otkrivanje.

Preglednici pružaju nekoliko prednosti za zlonamjerne operacije. Široko se koriste i obično se smatraju benignim procesima, što smanjuje vjerojatnost neposredne sumnje. Osim toga, parametri za otklanjanje pogrešaka u pregledniku mogu otključati moćne mogućnosti koje omogućuju inače ograničene radnje, poput preuzimanja datoteka na daljinu i opsežnog pristupa sustavu.

Nadalje, preglednici održavaju legitimne dozvole za interakciju s osjetljivim hardverskim resursima, uključujući mikrofone, kamere i mehanizme za snimanje zaslona, što napadačima omogućuje obavljanje nadzornih aktivnosti dok se istovremeno stapaju s normalnim ponašanjem sustava.

U trendu

Nagledanije

Učitavam...