DRILLAPP hátsó ajtó
Kiberbiztonsági elemzők egy új, ukrán szervezeteket célzó fenyegetést azonosítottak, amelynek jelei arra utalnak, hogy Oroszországhoz köthető szereplők is részt vesznek benne. Az először 2026 februárjában megfigyelt tevékenység technikai átfedéseket mutat egy korábbi, a Laundry Bear néven ismert csoporthoz (más néven UAC-0190 vagy Void Blizzard) köthető művelettel. Ez a korábbi kampány az ukrán védelmi erőket vette célba, és egy PLUGGYAPE nevű rosszindulatú programcsaládot telepített.
A legújabb művelet egy JavaScript-alapú hátsó ajtót vezet be, amelyet a Microsoft Edge böngészőn keresztül futtatnak. A kutatók által DRILLAPP néven emlegetett rosszindulatú program célja, hogy a böngésző képességeit kihasználva fájlokat töltsön fel és töltsön le, hozzáférjen a mikrofonhoz, és képeket rögzítsen az áldozat webkamerájával.
A támadók szociális manipulációra (social engineering) támaszkodnak a rosszindulatú komponensek terjesztésére. Jogi ügyekre vagy jótékonysági célokra utaló csalik segítségével ösztönzik az áldozatokat a rosszindulatú fájlok megnyitására és a fertőzési lánc elindítására.
Tartalomjegyzék
Megtévesztő csalik és a kezdeti fertőzési módszer
A kampányt két különböző változatban figyelték meg. Az első verzió, amelyet 2026 február elején észleltek, egy Windows parancsikont (LNK) használ kezdeti kézbesítési mechanizmusként. Végrehajtáskor a parancsikon létrehoz egy HTML alkalmazásfájlt (HTA) a rendszer ideiglenes könyvtárában. Ez a HTA fájl ezután lekér egy távoli szkriptet, amely a legitim Pastefy beillesztésmegosztó szolgáltatáson van tárolva.
A feltört rendszereken a fertőzés megőrzése érdekében a támadók a rosszindulatú LNK fájlt a Windows Startup mappájába másolják, biztosítva, hogy az minden rendszerindítás után automatikusan végrehajtódjon. A fertőzési lánc megkezdése után az áldozatok csali témákat tartalmazó URL-eket kapnak, beleértve a Starlink telepítésével kapcsolatos utasításokat vagy az ukrán Come Back Alive Foundation jótékonysági szervezetre való hivatkozásokat.
A HTA fájl végül a Microsoft Edge böngészőn keresztül indul el, fej nélküli módban, lehetővé téve a böngésző számára, hogy a Pastefy-ból lekért obfuszkált szkriptet szabványos böngészőablak megjelenítése nélkül futtassa.
Böngészőparaméterek kihasználása rejtett hozzáféréshez
A képességeinek maximalizálása érdekében a rosszindulatú folyamat több paraméterrel indítja el az Edge böngészőt, amelyek gyengítik a beépített biztonsági védelmet, és lehetővé teszik a jogosulatlan hozzáférést az érzékeny rendszererőforrásokhoz.
Ezek a paraméterek lehetővé teszik a böngészőpéldány számára, hogy megkerülje a szokásos biztonsági intézkedéseket, és olyan műveleteket hajtson végre, amelyeket a böngésző biztonsági modelljei általában korlátoznak. A konfiguráció hatékonyan lehetővé teszi a rosszindulatú program számára, hogy hozzáférjen a helyi fájlokhoz, rögzítse a hang- és videostreameket, és rögzítse a képernyőn megjelenő tevékenységeket anélkül, hogy az áldozatnak bármilyen beavatkozásra lenne szüksége.
A támadásban használt főbb böngészőparaméterek a következők:
--no-sandbox
--webbiztonság letiltása
--allow-file-access-from-files
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Ezen beállítások visszaélésével a böngésző a kártevő infrastruktúra funkcionális részévé válik, ahelyett, hogy pusztán egy kézbesítési platformmá válna.
Böngészőalapú hátsó ajtó és megfigyelési képességek
A DRILLAPP eszköz egy könnyű, mégis sokoldalú hátsó ajtóként működik. Aktiválás után lehetővé teszi a támadók számára, hogy böngészőalapú képességeken keresztül lépjenek kapcsolatba a fertőzött rendszerrel, gyakorlatilag távoli megfigyelőeszközzé alakítva a böngészőt.
A rosszindulatú program számos olyan művelet végrehajtására képes, amelyek lehetővé teszik a feltört eszközök széleskörű megfigyelését és adatgyűjtését.
A főbb képességek a következők:
- Fájlok feltöltése és letöltése a helyi rendszerről
- Hangfelvétel készítése az eszköz mikrofonján keresztül
- Videó rögzítése webkamerán keresztül
- Képernyőképek készítése a rendszer kijelzőjéről
- Egyedi eszköz ujjlenyomat létrehozása vászon ujjlenyomat-technikákkal
Első futtatása során a rosszindulatú program létrehoz egy eszköz ujjlenyomatát, és a Pastefy-t „dead-drop feloldóként” használja a parancs- és vezérlési kommunikációhoz használt WebSocket cím lekéréséhez. Ez az architektúra lehetővé teszi a támadók számára, hogy dinamikusan átirányítsák a fertőzött rendszereket a működési infrastruktúrájukra.
A hátsó ajtó a készülék ujjlenyomatát is továbbítja az áldozat kikövetkeztetett földrajzi helyével együtt. A helyet a rendszer időzónája alapján határozza meg, és egy előre meghatározott listával veti össze, amely tartalmazza az Egyesült Királyságot, Oroszországot, Németországot, Franciaországot, Kínát, Japánt, az Egyesült Államokat, Brazíliát, Indiát, Ukrajnát, Kanadát, Ausztráliát, Olaszországot, Spanyolországot és Lengyelországot. Ha az időzóna nem egyezik meg ezen régiók egyikével sem, a rosszindulatú program alapértelmezés szerint az Egyesült Államokban találhatóként azonosítja a rendszert.
Fejlődő technikák a második kampányváltozatban
A kampány második verziója 2026 február végén jelent meg, számos módosítással, miközben megőrizte az általános támadási struktúrát. Az LNK parancsikonfájlokra való támaszkodás helyett a frissített változat a Windows Vezérlőpult moduljait használja kezdeti kézbesítési mechanizmusként.
Maga a hátsó ajtó komponens is funkcionális frissítéseket kapott. Ezek a fejlesztések lehetővé teszik a rosszindulatú program számára, hogy mélyebb fájlrendszeri műveleteket hajtson végre, és javítsa az adatok fertőzött környezetekből való kinyerésének képességét.
A figyelemre méltó fejlesztések közé tartozik a rekurzív fájlfelsorolás, a kötegelt fájlfeltöltés, valamint a tetszőleges fájlok közvetlen letöltésének lehetősége a feltört rendszerre.
JavaScript-korlátozások megkerülése Chromium hibakereső eszközökkel
A szabványos JavaScript biztonsági korlátozások jellemzően megakadályozzák, hogy a távoli kód közvetlenül letöltsön fájlokat az áldozat rendszerére. Ennek a korlátozásnak a megkerülésére a támadók a Chrome DevTools Protocol (CDP) protokollt használják, amely egy belső hibakereső felület, amelyet a Chromium alapú böngészők használnak.
A CDP csak akkor érhető el, ha a böngészőt engedélyezve lévő --remote-debugging-port paraméterrel indítják el. A hibakeresési funkció aktiválásával a támadók képesek programozottan szabályozni a böngésző viselkedését és megkerülni a tipikus kliensoldali korlátozásokat, lehetővé téve a távoli fájlletöltéseket, amelyek egyébként blokkolva lennének.
Korai fejlesztési mutatók és kísérleti infrastruktúra
A bizonyítékok arra utalnak, hogy a kártevő még aktív fejlesztés alatt áll. Egy korai variáns, amelyet 2026. január 28-án fedeztek fel a vadonban, kizárólag a 'gnome.com' domainnel kommunikált, ahelyett, hogy az elsődleges hasznos adatát a Pastefy-tól kérte volna le.
Ez a viselkedés arra utal, hogy a fenyegető szereplők még mindig finomíthatják mind az infrastruktúrájukat, mind a hátsó ajtó működési képességeit.
Böngészős visszaélések, mint feltörekvő kibúvó stratégia
A kampány egyik legfontosabb aspektusa a webböngésző szándékos használata a hátsó ajtó elsődleges végrehajtási környezeteként. Ez a megközelítés rávilágít arra a növekvő trendre, amelyben a támadók legitim szoftvereket használnak újra az észlelés elkerülése érdekében.
A böngészők számos előnnyel járnak a rosszindulatú műveletek szempontjából. Széles körben használják őket, és jellemzően jóindulatú folyamatoknak tekintik őket, csökkentve az azonnali gyanú valószínűségét. Ezenkívül a böngésző hibakeresési paraméterei olyan hatékony funkciókat oldhatnak fel, amelyek egyébként korlátozott műveleteket tesznek lehetővé, például távoli fájlletöltéseket és kiterjedt rendszerhozzáférést.
Továbbá a böngészők jogos engedélyekkel rendelkeznek az érzékeny hardver erőforrásokkal, beleértve a mikrofonokat, kamerákat és képernyőrögzítő mechanizmusokat, való interakcióra, ami lehetővé teszi a támadók számára, hogy megfigyelési tevékenységeket végezzenek, miközben beolvadnak a normál rendszer viselkedésébe.
