Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra DRILLAPP aizmugurējās durvis

DRILLAPP aizmugurējās durvis

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT), Aizmugures durvis. gadā
Tulkot uz:

Kiberdrošības analītiķi ir identificējuši jaunu draudu kampaņu, kas vērsta pret Ukrainas organizācijām, un pazīmes liecina par ar Krieviju saistītu dalībnieku iesaistīšanos. Aktivitāte, kas pirmo reizi tika novērota 2026. gada februārī, liecina par tehnisku pārklāšanos ar iepriekšējo operāciju, kas tiek piedēvēta grupai, kas pazīstama kā Laundry Bear (kas tiek izsekota arī kā UAC-0190 vai Void Blizzard). Šī iepriekšējā kampaņa bija vērsta pret Ukrainas aizsardzības spēkiem un ieviesa ļaunprogrammatūru saimi ar nosaukumu PLUGGYAPE.

Jaunākā operācija ievieš uz JavaScript balstītu aizmugurējo durvju ievainojamību, kas tiek izpildīta, izmantojot Microsoft Edge pārlūkprogrammu. Ļaunprogramma, ko pētnieki dēvē par DRILLAPP, ir izstrādāta, lai izmantotu pārlūkprogrammas iespējas, lai augšupielādētu un lejupielādētu failus, piekļūtu mikrofonam un uzņemtu attēlus no upura tīmekļa kameras.

Uzbrucēji izmanto sociālās inženierijas taktiku, lai izplatītu ļaunprātīgās komponentes. Ēstnesis, kas atsaucas uz juridiskiem jautājumiem vai labdarības mērķiem, tiek izmantotas, lai mudinātu upurus atvērt ļaunprātīgas datnes un uzsākt inficēšanas ķēdi.

Maldinošas ēsmas un sākotnējā inficēšanās metode

Kampaņa ir novērota divos atšķirīgos variantos. Pirmā versija, kas tika atklāta 2026. gada februāra sākumā, kā sākotnējo piegādes mehānismu izmanto Windows saīsnes (LNK) failu. Izpildot saīsne, sistēmas pagaidu direktorijā tiek izveidots HTML lietojumprogrammas (HTA) fails. Šis HTA fails pēc tam izgūst attālo skriptu, kas tiek mitināts likumīgā ielīmēšanas koplietošanas pakalpojumā Pastefy.

Lai saglabātu noturību apdraudētajās sistēmās, uzbrucēji kopē ļaunprātīgo LNK failu Windows startēšanas mapē, nodrošinot tā automātisku izpildi pēc katras sistēmas pārstartēšanas. Kad inficēšanas ķēde sākas, upuriem tiek parādīti URL, kas satur mānekļu tēmas, tostarp instrukcijas par Starlink instalēšanu vai atsauces uz Ukrainas labdarības organizāciju Come Back Alive Foundation.

HTA fails galu galā tiek palaists, izmantojot Microsoft Edge pārlūkprogrammu bezgalvas režīmā, ļaujot pārlūkprogrammai izpildīt no Pastefy izgūto apmulsināto skriptu, neparādot standarta pārlūkprogrammas logu.

Pārlūkprogrammas parametru izmantošana slepenai piekļuvei

Lai maksimāli palielinātu savas iespējas, ļaunprātīgais process palaiž Edge pārlūkprogrammu ar vairākiem parametriem, kas vājina iebūvēto drošības aizsardzību un nodrošina nesankcionētu piekļuvi sensitīviem sistēmas resursiem.

Šie parametri ļauj pārlūkprogrammas instancei apiet tipiskos drošības pasākumus un veikt darbības, kuras parasti ierobežo pārlūkprogrammas drošības modeļi. Konfigurācija efektīvi ļauj ļaunprogrammatūrai piekļūt lokālajiem failiem, uztvert audio un video straumes un ierakstīt ekrāna aktivitātes, neprasot nekādu upura mijiedarbību.

Uzbrukumā izmantotie galvenie pārlūkprogrammas parametri ir šādi:

--no-sandbox

--atspējot tīmekļa drošību

--allow-file-access-from-files

--izmantojiet viltotu lietotāja saskarni multivides straumei

--automātiska ekrāna uzņemšanas avota izvēle=true

--disable-user-media-security

Ļaunprātīgi izmantojot šos iestatījumus, pārlūkprogramma kļūst par ļaunprogrammatūras infrastruktūras funkcionālu sastāvdaļu, nevis tikai par piegādes platformu.

Pārlūkprogrammā balstītas aizmugurējās durvis un novērošanas iespējas

DRILLAPP artefakts darbojas kā viegls, bet daudzpusīgs aizmugures durvju rīks. Kad tas ir aktīvs, tas ļauj uzbrucējiem mijiedarboties ar inficēto sistēmu, izmantojot pārlūkprogrammas iespējotas iespējas, efektīvi pārveidojot pārlūkprogrammu par attālās novērošanas rīku.

Ļaunprogrammatūra spēj veikt vairākas darbības, kas ļauj veikt plašu uzraudzību un datu vākšanu no apdraudētām ierīcēm.

Galvenās iespējas ietver:

  • Failu augšupielāde un lejupielāde no lokālās sistēmas
  • Audio ierakstīšana, izmantojot ierīces mikrofonu
  • Video ierakstīšana, izmantojot tīmekļa kameru
  • Sistēmas displeja ekrānuzņēmumu uzņemšana
  • Unikāla ierīces pirkstu nospieduma ģenerēšana, izmantojot audekla pirkstu nospiedumu metodes

Pirmās izpildes laikā ļaunprogrammatūra ģenerē ierīces pirkstu nospiedumu un izmanto Pastefy kā “bezkontaktu atrisinātāju”, lai izgūtu WebSocket adresi, kas tiek izmantota komandu un vadības saziņai. Šī arhitektūra ļauj uzbrucējiem dinamiski novirzīt inficētās sistēmas uz savu operatīvo infrastruktūru.

Aizmugurējās durvis pārraida arī ierīces pirkstu nospiedumu līdzās upura secinātajai ģeogrāfiskajai atrašanās vietai. Atrašanās vieta tiek noteikta pēc sistēmas laika joslas un salīdzināta ar iepriekš definētu sarakstu, kurā iekļauta Apvienotā Karaliste, Krievija, Vācija, Francija, Ķīna, Japāna, Amerikas Savienotās Valstis, Brazīlija, Indija, Ukraina, Kanāda, Austrālija, Itālija, Spānija un Polija. Ja laika josla neatbilst nevienam no šiem reģioniem, ļaunprogrammatūra pēc noklusējuma identificē sistēmu kā atrodošos Amerikas Savienotajās Valstīs.

Attīstības metodes otrajā kampaņas variantā

Otra kampaņas versija parādījās 2026. gada februāra beigās, ieviešot vairākas izmaiņas, vienlaikus saglabājot kopējo uzbrukuma struktūru. Atjauninātajā variantā LNK saīsņu failu vietā kā sākotnējais piegādes mehānisms tiek izmantoti Windows vadības paneļa moduļi.

Arī pats aizmugurējo durvju komponents ir saņēmis funkcionālus uzlabojumus. Šie uzlabojumi ļauj ļaunprogrammatūrai veikt dziļākas failu sistēmas darbības un uzlabo tās spēju izfiltrēt datus no inficētām vidēm.

Ievērojami uzlabojumi ietver rekursīvu failu uzskaitīšanu, pakešfailu augšupielādi un iespēju lejupielādēt patvaļīgus failus tieši apdraudētajā sistēmā.

JavaScript ierobežojumu apiešana ar Chromium atkļūdošanas rīkiem

Standarta JavaScript drošības ierobežojumi parasti neļauj attālajam kodam tieši lejupielādēt failus upura sistēmā. Lai apietu šo ierobežojumu, uzbrucēji izmanto Chrome DevTools protokolu (CDP) — iekšēju atkļūdošanas saskarni, ko izmanto Chromium bāzes pārlūkprogrammas.

CDP var piekļūt tikai tad, kad pārlūkprogramma tiek palaista ar iespējotu parametru --remote-debugging-port. Aktivizējot šo atkļūdošanas funkcionalitāti, uzbrucēji iegūst iespēju programmatiski kontrolēt pārlūkprogrammas darbību un apiet tipiskos klienta puses ierobežojumus, iespējojot attālinātu failu lejupielādi, kas citādi tiktu bloķēta.

Agrīnās attīstības indikatori un eksperimentālā infrastruktūra

Pierādījumi liecina, ka ļaunprogrammatūra joprojām tiek aktīvi izstrādāta. Agrīna variante, kas tika atklāta dabā 2026. gada 28. janvārī, sazinājās tikai ar domēnu “gnome.com”, nevis ieguva savu galveno vērtumu no Pastefy.

Šāda uzvedība norāda, ka apdraudējumu dalībnieki, iespējams, joprojām pilnveido gan savu infrastruktūru, gan aizmugurējo durvju operacionālās iespējas.

Pārlūkprogrammas ļaunprātīga izmantošana kā jauna krāpšanas stratēģija

Viens no būtiskākajiem kampaņas aspektiem ir apzināta tīmekļa pārlūkprogrammas izmantošana kā galvenā izpildes vide aizmugurējo durvju uzbrukumam. Šī pieeja uzsver pieaugošo tendenci, ka uzbrucēji pārveido likumīgu programmatūru, lai izvairītos no atklāšanas.

Pārlūkprogrammas sniedz vairākas priekšrocības ļaunprātīgām darbībām. Tās tiek plaši izmantotas un parasti tiek uzskatītas par labdabīgiem procesiem, samazinot tūlītēju aizdomu iespējamību. Turklāt pārlūkprogrammas atkļūdošanas parametri var atbloķēt jaudīgas iespējas, kas iespējo citādi ierobežotas darbības, piemēram, attālinātu failu lejupielādi un plašu piekļuvi sistēmai.

Turklāt pārlūkprogrammām ir likumīgas atļaujas mijiedarboties ar sensitīviem aparatūras resursiem, tostarp mikrofoniem, kamerām un ekrāna uzņemšanas mehānismiem, kas ļauj uzbrucējiem veikt novērošanas darbības, vienlaikus iekļaujoties normālai sistēmas darbībai.

Tendences

Visvairāk skatīts

Notiek ielāde...