Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa DRILLAPP galinės durys

DRILLAPP galinės durys

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT), Užpakalinės durys
Versti į:

Kibernetinio saugumo analitikai nustatė naują grėsmės kampaniją, nukreiptą prieš Ukrainos organizacijas, o požymiai rodo, kad joje dalyvauja su Rusija susiję veikėjai. Ši veikla, pirmą kartą pastebėta 2026 m. vasarį, techniškai sutampa su ankstesne operacija, priskiriama grupei „Laundry Bear“ (taip pat sekamai kaip UAC-0190 arba „Void Blizzard“). Ankstesnė kampanija buvo nukreipta į Ukrainos gynybos pajėgas ir joje buvo dislokuota kenkėjiškų programų šeima, vadinama PLUGGYAPE.

Naujausia operacija apima „JavaScript“ pagrindu veikiančią „backdoor“ programą, vykdomą per „Microsoft Edge“ naršyklę. Kenkėjiška programa, tyrėjų vadinama DRILLAPP, sukurta išnaudoti naršyklės galimybes, kad būtų galima įkelti ir atsisiųsti failus, pasiekti mikrofoną ir užfiksuoti vaizdus iš aukos internetinės kameros.

Užpuolikai naudoja socialinės inžinerijos taktiką kenkėjiškiems komponentams platinti. Masalas, susijęs su teisiniais reikalais ar labdaros tikslais, naudojamas siekiant paskatinti aukas atidaryti kenkėjiškus failus ir pradėti užkrėtimo grandinę.

Apgaulingi masalai ir pradinis užkrėtimo metodas

Kampanija buvo pastebėta dviem skirtingais variantais. Pirmoji versija, aptikta 2026 m. vasario pradžioje, kaip pradinį pristatymo mechanizmą naudoja „Windows“ sparčiųjų klavišų (LNK) failą. Paleidus spartųjį klavišą, sistemos laikinajame kataloge sukuriamas HTML programos (HTA) failas. Tada šis HTA failas nuskaito nuotolinį scenarijų, esantį teisėtoje įklijavimo bendrinimo paslaugoje „Pastefy“.

Siekdami išlaikyti kenkėjišką LNK failą pažeistose sistemose, užpuolikai nukopijuoja jį į „Windows“ paleisties aplanką, užtikrindami, kad jis būtų automatiškai vykdomas po kiekvieno sistemos perkrovimo. Prasidėjus užkrato grandinei, aukoms pateikiami URL adresai su masalų temomis, įskaitant instrukcijas, susijusias su „Starlink“ diegimu, arba nuorodas į Ukrainos labdaros organizaciją „Come Back Alive Foundation“.

HTA failas galiausiai paleidžiamas per „Microsoft Edge“ naršyklę be galvų, todėl naršyklė gali vykdyti iš „Pastefy“ gautą užmaskuotą scenarijų nerodydama standartinio naršyklės lango.

Naršyklės parametrų išnaudojimas slaptai prieigai

Siekdamas maksimaliai išnaudoti savo galimybes, kenkėjiškas procesas paleidžia „Edge“ naršyklę su keliais parametrais, kurie silpnina integruotas saugos apsaugas ir suteikia neteisėtą prieigą prie jautrių sistemos išteklių.

Šie parametrai leidžia naršyklės egzemplioriui apeiti įprastas apsaugos priemones ir atlikti veiksmus, kuriuos paprastai riboja naršyklės saugos modeliai. Ši konfigūracija efektyviai leidžia kenkėjiškai programai pasiekti vietinius failus, fiksuoti garso ir vaizdo srautus bei įrašyti ekrano veiklą nereikalaujant jokios aukos sąveikos.

Pagrindiniai naršyklės parametrai, naudojami atakoje, yra šie:

--no-sandbox

--išjungti žiniatinklio saugumą

--leisti prieigą prie failų iš failų

--use-fake-ui-for-media-stream

--automatinis ekrano kopijos šaltinio pasirinkimas = tiesa

--disable-user-media-security

Piktnaudžiaudama šiais nustatymais, naršyklė tampa funkciniu kenkėjiškų programų infrastruktūros komponentu, o ne tik pristatymo platforma.

Naršyklės pagrindu veikiančios „backdoor“ ir stebėjimo galimybės

DRILLAPP artefaktas veikia kaip lengvas, bet universalus galinis durų įrankis. Kai jis aktyvuojamas, užpuolikai gali sąveikauti su užkrėsta sistema per naršyklės funkcijas, efektyviai paversdami naršyklę nuotolinio stebėjimo įrankiu.

Kenkėjiška programa gali atlikti keletą operacijų, kurios leidžia plačiai stebėti ir rinkti duomenis iš pažeistų įrenginių.

Pagrindinės galimybės apima:

  • Failų įkėlimas ir atsisiuntimas iš vietinės sistemos
  • Garso įrašymas per įrenginio mikrofoną
  • Vaizdo įrašymas per internetinę kamerą
  • Sistemos ekrano kopijų darymas
  • Unikalaus įrenginio piršto atspaudo generavimas naudojant drobės pirštų atspaudų ėmimo metodus

Pirmojo paleidimo metu kenkėjiška programa sugeneruoja įrenginio piršto atspaudą ir naudoja „Pastefy“ kaip „dead-drop“ sprendiklį, kad gautų „WebSocket“ adresą, naudojamą komandų ir valdymo ryšiui. Ši architektūra leidžia užpuolikams dinamiškai nukreipti užkrėstas sistemas į savo operacinę infrastruktūrą.

Užpakalinės durys taip pat perduoda įrenginio piršto atspaudą kartu su numanoma aukos geografine vieta. Vieta nustatoma pagal sistemos laiko juostą ir tikrinama pagal iš anksto nustatytą sąrašą, kuriame yra Jungtinė Karalystė, Rusija, Vokietija, Prancūzija, Kinija, Japonija, Jungtinės Valstijos, Brazilija, Indija, Ukraina, Kanada, Australija, Italija, Ispanija ir Lenkija. Jei laiko juosta nesutampa su nė vienu iš šių regionų, kenkėjiška programa pagal numatytuosius nustatymus identifikuoja sistemą kaip esančią Jungtinėse Valstijose.

Besivystančios technikos antrajame kampanijos variante

Antroji kampanijos versija pasirodė 2026 m. vasario pabaigoje, joje buvo atlikta keletas pakeitimų, išlaikant bendrą atakos struktūrą. Užuot pasikliovusi LNK sparčiųjų klavišų failais, atnaujintoje versijoje kaip pradinis pateikimo mechanizmas naudojami „Windows“ valdymo skydo moduliai.

Pats „backdoor“ komponentas taip pat buvo funkcionaliai atnaujintas. Šie patobulinimai leidžia kenkėjiškai programai atlikti gilesnes failų sistemos operacijas ir pagerina jos galimybes išfiltruoti duomenis iš užkrėstų aplinkų.

Pastebimi patobulinimai apima rekursinį failų išvardijimą, paketinį failų įkėlimą ir galimybę atsisiųsti bet kokius failus tiesiai į pažeistą sistemą.

„JavaScript“ apribojimų apėjimas naudojant „Chromium“ derinimo įrankius

Standartiniai „JavaScript“ saugumo apribojimai paprastai neleidžia nuotoliniam kodui tiesiogiai atsisiųsti failų į aukos sistemą. Norėdami apeiti šį apribojimą, užpuolikai naudoja „Chrome DevTools“ protokolą (CDP) – vidinę derinimo sąsają, kurią naudoja „Chromium“ pagrindu sukurtos naršyklės.

CDP galima pasiekti tik tada, kai naršyklė paleidžiama įjungus parametrą „--remote-debugging-port“. Įjungę šią derinimo funkciją, užpuolikai įgyja galimybę programiškai valdyti naršyklės elgseną ir apeiti įprastus kliento pusės apribojimus, taip įgalindami nuotolinį failų atsisiuntimą, kuris kitaip būtų blokuojamas.

Ankstyvojo vystymosi rodikliai ir eksperimentinė infrastruktūra

Įrodymai rodo, kad kenkėjiška programa vis dar aktyviai kuriama. Ankstyvasis variantas, atrastas natūralioje aplinkoje 2026 m. sausio 28 d., bendravo tik su domenu „gnome.com“, o ne gaudavo pagrindinę informaciją iš „Pastefy“.

Toks elgesys rodo, kad grėsmių skleidėjai vis dar gali tobulinti savo infrastruktūrą ir galinių durų operacines galimybes.

Naršyklės piktnaudžiavimas kaip nauja apėjimo strategija

Vienas iš svarbiausių kampanijos aspektų yra sąmoningas žiniatinklio naršyklės naudojimas kaip pagrindinės „galinių durų“ vykdymo aplinkos. Šis metodas pabrėžia augančią tendenciją, kai užpuolikai perdirba teisėtą programinę įrangą, kad išvengtų aptikimo.

Naršyklės suteikia keletą pranašumų kenkėjiškoms operacijoms. Jos yra plačiai naudojamos ir paprastai laikomos gerybiniais procesais, todėl sumažėja tiesioginio įtarimo tikimybė. Be to, naršyklės derinimo parametrai gali atverti galingas galimybes, kurios leidžia atlikti kitaip ribojamus veiksmus, pvz., nuotolinį failų atsisiuntimą ir plačią prieigą prie sistemos.

Be to, naršyklės turi teisėtus leidimus sąveikauti su jautriais aparatinės įrangos ištekliais, įskaitant mikrofonus, kameras ir ekrano fiksavimo mechanizmus, o tai leidžia užpuolikams vykdyti stebėjimo veiklą, tuo pačiu įsiliejant į įprastą sistemos elgesį.

Tendencijos

Labiausiai žiūrima

Įkeliama...