Pintu Belakang DRILLAPP
Penganalisis keselamatan siber telah mengenal pasti kempen ancaman baharu yang menyasarkan organisasi Ukraine, dengan petunjuk yang menunjukkan penglibatan daripada pelaku yang dikaitkan dengan Rusia. Aktiviti tersebut, yang pertama kali diperhatikan pada Februari 2026, menunjukkan pertindihan teknikal dengan operasi sebelumnya yang dikaitkan dengan kumpulan yang dikenali sebagai Laundry Bear (juga dikesan sebagai UAC-0190 atau Void Blizzard). Kempen terdahulu itu menyasarkan pasukan pertahanan Ukraine dan menggunakan keluarga perisian hasad yang dipanggil PLUGGYAPE.
Operasi terbaharu ini memperkenalkan pintu belakang berasaskan JavaScript yang dilaksanakan melalui pelayar Microsoft Edge. Perisian hasad yang dirujuk oleh penyelidik sebagai DRILLAPP direka bentuk untuk mengeksploitasi keupayaan pelayar bagi memuat naik dan memuat turun fail, mengakses mikrofon dan menangkap imej daripada kamera web mangsa.
Penyerang bergantung pada taktik kejuruteraan sosial untuk menyebarkan komponen berniat jahat. Gewang yang merujuk kepada perkara perundangan atau tujuan amal digunakan untuk menggalakkan mangsa membuka fail berniat jahat dan memulakan rantaian jangkitan.
Isi kandungan
Gewang Menipu dan Kaedah Jangkitan Awal
Kempen ini telah diperhatikan dalam dua varian berbeza. Versi pertama, yang dikesan pada awal Februari 2026, menggunakan fail pintasan Windows (LNK) sebagai mekanisme penghantaran awal. Apabila dilaksanakan, pintasan tersebut mencipta fail Aplikasi HTML (HTA) dalam direktori sementara sistem. Fail HTA ini kemudian mengambil skrip jauh yang dihoskan pada perkhidmatan perkongsian tampal yang sah, Pastefy.
Untuk mengekalkan kegigihan pada sistem yang diceroboh, penyerang menyalin fail LNK berniat jahat ke dalam folder Windows Startup, memastikan ia dilaksanakan secara automatik selepas setiap but semula sistem. Sebaik sahaja rantaian jangkitan bermula, mangsa akan diberikan URL yang mengandungi tema umpan, termasuk arahan berkaitan pemasangan Starlink atau rujukan kepada badan amal Ukraine, Come Back Alive Foundation.
Fail HTA akhirnya dilancarkan melalui pelayar Microsoft Edge yang beroperasi dalam mod tanpa kepala, membolehkan pelayar melaksanakan skrip yang dikaburkan yang diambil daripada Pastefy tanpa memaparkan tetingkap pelayar standard.
Mengeksploitasi Parameter Pelayar untuk Akses Senyap
Untuk memaksimumkan keupayaannya, proses berniat jahat itu melancarkan pelayar Edge dengan pelbagai parameter yang melemahkan perlindungan keselamatan terbina dalam dan membolehkan akses tanpa kebenaran kepada sumber sistem sensitif.
Parameter ini membolehkan contoh pelayar memintas perlindungan biasa dan melakukan tindakan yang biasanya dihadkan oleh model keselamatan pelayar. Konfigurasi ini secara berkesan membolehkan perisian hasad mengakses fail setempat, menangkap strim audio dan video serta merakam aktiviti skrin tanpa memerlukan sebarang interaksi daripada mangsa.
Parameter pelayar utama yang digunakan dalam serangan itu termasuk:
--tiada-kotak-sandbox
--lumpuhkan-keselamatan-web
--benarkan-akses-fail-daripada-fail
--gunakan-ui-palsu-untuk-strim-media
--pilih-auto-sumber-tangkapan-skrin=benar
--lumpuhkan-keselamatan-media-pengguna
Dengan menyalahgunakan tetapan ini, pelayar menjadi komponen berfungsi bagi infrastruktur perisian hasad dan bukan sekadar platform penyampaian.
Keupayaan Backdoor dan Pengawasan Berasaskan Pelayar
Artifak DRILLAPP berfungsi sebagai pintu belakang yang ringan tetapi serba boleh. Sebaik sahaja aktif, ia membolehkan penyerang berinteraksi dengan sistem yang dijangkiti melalui keupayaan yang didayakan pelayar, sekali gus mengubah pelayar tersebut menjadi alat pengawasan jauh dengan berkesan.
Perisian hasad ini mampu melakukan beberapa operasi yang membolehkan pemantauan dan pengumpulan data yang meluas daripada peranti yang dicerobohi.
Keupayaan teras termasuk:
- Memuat naik dan memuat turun fail daripada sistem setempat
- Merakam audio melalui mikrofon peranti
- Merakam video melalui webcam
- Mengambil tangkapan skrin paparan sistem
- Menjana cap jari peranti unik menggunakan teknik cap jari kanvas
Semasa pelaksanaan pertamanya, perisian hasad menghasilkan cap jari peranti dan menggunakan Pastefy sebagai 'penyelesai mati' untuk mendapatkan alamat WebSocket yang digunakan untuk komunikasi arahan dan kawalan. Seni bina ini membolehkan penyerang mengalihkan sistem yang dijangkiti secara dinamik ke infrastruktur operasi mereka.
Pintu belakang juga menghantar cap jari peranti di samping lokasi geografi mangsa yang disimpulkan. Lokasi ditentukan daripada zon waktu sistem dan disemak terhadap senarai yang telah ditetapkan yang merangkumi United Kingdom, Rusia, Jerman, Perancis, China, Jepun, Amerika Syarikat, Brazil, India, Ukraine, Kanada, Australia, Itali, Sepanyol dan Poland. Jika zon waktu tidak sepadan dengan mana-mana wilayah ini, perisian hasad akan mengenal pasti sistem tersebut sebagai terletak di Amerika Syarikat secara lalai.
Teknik yang Berkembang dalam Varian Kempen Kedua
Versi kedua kempen ini muncul pada akhir Februari 2026, memperkenalkan beberapa pengubahsuaian sambil mengekalkan struktur serangan keseluruhan. Daripada bergantung pada fail pintasan LNK, varian yang dikemas kini menggunakan modul Panel Kawalan Windows sebagai mekanisme penghantaran awal.
Komponen pintu belakang itu sendiri juga menerima peningkatan fungsi. Penambahbaikan ini membolehkan perisian hasad menjalankan operasi sistem fail yang lebih mendalam dan meningkatkan keupayaannya untuk mengeluarkan data daripada persekitaran yang dijangkiti.
Penambahbaikan ketara termasuk penghitungan fail rekursif, muat naik fail kelompok dan keupayaan untuk memuat turun fail sewenang-wenangnya terus ke sistem yang dikompromi.
Melangkaui Sekatan JavaScript dengan Alat Penyahpepijatan Chromium
Sekatan keselamatan JavaScript standard biasanya menghalang kod jauh daripada memuat turun fail secara langsung ke sistem mangsa. Untuk mengelakkan batasan ini, penyerang memanfaatkan Protokol Chrome DevTools (CDP), antara muka penyahpepijatan dalaman yang digunakan oleh pelayar berasaskan Chromium.
CDP hanya boleh diakses apabila pelayar dilancarkan dengan parameter --remote-debugging-port diaktifkan. Dengan mengaktifkan fungsi penyahpepijatan ini, penyerang memperoleh keupayaan untuk mengawal tingkah laku pelayar secara pengaturcaraan dan memintas sekatan sisi klien yang biasa, membolehkan muat turun fail jauh yang sebaliknya akan disekat.
Petunjuk Pembangunan Awal dan Infrastruktur Eksperimen
Bukti menunjukkan bahawa perisian hasad itu masih dalam pembangunan aktif. Varian awal yang ditemui di alam liar pada 28 Januari 2026, berkomunikasi secara eksklusif dengan domain 'gnome.com' dan bukannya mendapatkan muatan utamanya daripada Pastefy.
Tingkah laku ini menunjukkan bahawa pelaku ancaman mungkin masih memperhalusi infrastruktur dan keupayaan operasi pintu belakang mereka.
Penyalahgunaan Pelayar sebagai Strategi Pengelakan yang Muncul
Salah satu aspek paling penting dalam kempen ini ialah penggunaan pelayar web yang disengajakan sebagai persekitaran pelaksanaan utama untuk pintu belakang. Pendekatan ini mengetengahkan trend yang semakin meningkat di mana penyerang menggunakan semula perisian yang sah untuk mengelak pengesanan.
Pelayar web menyediakan beberapa kelebihan untuk operasi berniat jahat. Ia digunakan secara meluas dan biasanya dianggap sebagai proses yang tidak berbahaya, sekali gus mengurangkan kemungkinan syak wasangka serta-merta. Selain itu, parameter penyahpepijatan pelayar web boleh membuka kunci keupayaan berkuasa yang membolehkan tindakan yang sebaliknya terhad, seperti muat turun fail jauh dan akses sistem yang meluas.
Tambahan pula, pelayar web mengekalkan kebenaran yang sah untuk berinteraksi dengan sumber perkakasan sensitif, termasuk mikrofon, kamera dan mekanisme tangkapan skrin, yang membolehkan penyerang melakukan aktiviti pengawasan sambil menggabungkannya dengan tingkah laku sistem biasa.
