Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare DRILLAPP Bakdør

DRILLAPP Bakdør

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT), Bakdører
Oversett til:

Nettsikkerhetsanalytikere har identifisert en ny trusselkampanje rettet mot ukrainske organisasjoner, med indikatorer som tyder på involvering fra aktører knyttet til Russland. Aktiviteten, som først ble observert i februar 2026, viser tekniske overlapp med en tidligere operasjon tilskrevet gruppen kjent som Laundry Bear (også sporet som UAC-0190 eller Void Blizzard). Den tidligere kampanjen var rettet mot ukrainske forsvarsstyrker og distribuerte en skadevarefamilie kalt PLUGGYAPE.

Den siste operasjonen introduserer en JavaScript-basert bakdør som kjøres gjennom Microsoft Edge-nettleseren. Skadevaren, omtalt av forskere som DRILLAPP, er utviklet for å utnytte nettleserfunksjoner for å laste opp og ned filer, få tilgang til mikrofonen og ta bilder fra offerets webkamera.

Angripere benytter seg av sosial manipulering for å distribuere de skadelige komponentene. Lokkemidler som refererer til juridiske saker eller veldedige formål brukes til å oppfordre ofre til å åpne skadelige filer og starte infeksjonskjeden.

Villedende lokkemidler og initial infeksjonsmetode

Kampanjen har blitt observert i to forskjellige varianter. Den første versjonen, som ble oppdaget tidlig i februar 2026, bruker en Windows-snarveifil (LNK) som den første leveringsmekanismen. Når den kjøres, oppretter snarveien en HTML-applikasjonsfil (HTA) i systemets midlertidige katalog. Denne HTA-filen henter deretter et eksternt skript som ligger på den legitime lime-delingstjenesten Pastefy.

For å opprettholde sikkerheten på kompromitterte systemer kopierer angriperne den skadelige LNK-filen til Windows-oppstartsmappen, og sørger for at den kjører automatisk etter hver omstart av systemet. Når infeksjonskjeden starter, får ofrene presentert URL-er som inneholder lokketemaer, inkludert instruksjoner relatert til installasjon av Starlink eller referanser til den ukrainske veldedighetsorganisasjonen Come Back Alive Foundation.

HTA-filen starter til slutt gjennom Microsoft Edge-nettleseren som opererer i headless-modus, slik at nettleseren kan kjøre det obfuskerte skriptet hentet fra Pastefy uten å vise et standard nettleservindu.

Utnytte nettleserparametere for skjult tilgang

For å maksimere mulighetene sine, starter den ondsinnede prosessen Edge-nettleseren med flere parametere som svekker innebygde sikkerhetsbeskyttelser og muliggjør uautorisert tilgang til sensitive systemressurser.

Disse parameterne lar nettleserforekomsten omgå typiske sikkerhetstiltak og utføre handlinger som normalt er begrenset av nettlesersikkerhetsmodeller. Konfigurasjonen lar effektivt skadevaren få tilgang til lokale filer, fange opp lyd- og videostrømmer og ta opp skjermaktivitet uten at offeret krever noen form for interaksjon.

Viktige nettleserparametere som ble brukt i angrepet inkluderer:

--ingen-sandkasse

--deaktiver-nettsikkerhet

--tillat-filtilgang-fra-filer

--bruk-falsk-grensesnitt-for-mediestrøm

--auto-select-screen-capture-source=true

--deaktiver-bruker-mediesikkerhet

Ved å misbruke disse innstillingene blir nettleseren en funksjonell komponent i infrastrukturen for skadelig programvare i stedet for bare en leveringsplattform.

Nettleserbaserte bakdører og overvåkingsfunksjoner

DRILLAPP-artefakten fungerer som en lett, men allsidig bakdør. Når den er aktiv, lar den angripere samhandle med det infiserte systemet gjennom nettleseraktiverte funksjoner, og dermed effektivt forvandle nettleseren til et fjernovervåkingsverktøy.

Skadevaren er i stand til å utføre flere operasjoner som tillater omfattende overvåking og datainnsamling fra kompromitterte enheter.

Kjernefunksjoner inkluderer:

  • Laste opp og laste ned filer fra det lokale systemet
  • Ta opp lyd via enhetens mikrofon
  • Opptak av video via webkamera
  • Tar skjermbilder av systemskjermen
  • Generering av et unikt fingeravtrykk på en enhet ved hjelp av fingeravtrykksteknikker på lerret

Under den første kjøringen genererer skadevaren et fingeravtrykk på enheten og bruker Pastefy som en «dead-drop resolver» for å hente en WebSocket-adresse som brukes til kommando- og kontrollkommunikasjon. Denne arkitekturen lar angripere dynamisk omdirigere infiserte systemer til sin operative infrastruktur.

Bakdøren overfører også enhetens fingeravtrykk sammen med offerets antatte geografiske plassering. Plasseringen bestemmes ut fra systemets tidssone og kontrolleres mot en forhåndsdefinert liste som inkluderer Storbritannia, Russland, Tyskland, Frankrike, Kina, Japan, USA, Brasil, India, Ukraina, Canada, Australia, Italia, Spania og Polen. Hvis tidssonen ikke samsvarer med noen av disse regionene, identifiserer skadevaren som standard systemet som plassert i USA.

Utviklende teknikker i den andre kampanjevarianten

En andre versjon av kampanjen dukket opp sent i februar 2026, og introduserte flere modifikasjoner samtidig som den overordnede angrepsstrukturen ble opprettholdt. I stedet for å stole på LNK-snarveifiler, bruker den oppdaterte varianten Windows Kontrollpanel-moduler som den første leveringsmekanismen.

Selve bakdørskomponenten fikk også funksjonelle oppgraderinger. Disse forbedringene lar skadevaren utføre dypere filsystemoperasjoner og forbedrer dens evne til å eksfiltrere data fra infiserte miljøer.

Merkbare forbedringer inkluderer rekursiv filopplisting, batch-filopplastinger og muligheten til å laste ned vilkårlige filer direkte til det kompromitterte systemet.

Omgå JavaScript-begrensninger med Chromium Debugging Tools

Standard JavaScript-sikkerhetsbegrensninger hindrer vanligvis ekstern kode i å laste ned filer direkte til et offers system. For å omgå denne begrensningen bruker angriperne Chrome DevTools Protocol (CDP), et internt feilsøkingsgrensesnitt som brukes av Chromium-baserte nettlesere.

CDP kan bare nås når nettleseren startes med parameteren --remote-debugging-port aktivert. Ved å aktivere denne feilsøkingsfunksjonaliteten får angriperne muligheten til å kontrollere nettleserens oppførsel programmatisk og omgå typiske klientsidebegrensninger, noe som muliggjør eksterne filnedlastinger som ellers ville blitt blokkert.

Tidlige utviklingsindikatorer og eksperimentell infrastruktur

Bevis tyder på at skadevaren fortsatt er under aktiv utvikling. En tidlig variant som ble oppdaget utelukkende i naturen 28. januar 2026, kommuniserte utelukkende med domenet «gnome.com» i stedet for å hente sin primære nyttelast fra Pastefy.

Denne oppførselen indikerer at trusselaktørene fortsatt kan forbedre både infrastrukturen sin og bakdørens operative evner.

Nettlesermisbruk som en fremvoksende unnvikelsesstrategi

Et av de viktigste aspektene ved kampanjen er den bevisste bruken av en nettleser som primært utførelsesmiljø for bakdøren. Denne tilnærmingen fremhever en økende trend der angripere gjenbruker legitim programvare for å unngå å bli oppdaget.

Nettlesere gir flere fordeler for ondsinnede operasjoner. De er mye brukt og anses vanligvis som godartede prosesser, noe som reduserer sannsynligheten for umiddelbar mistanke. I tillegg kan feilsøkingsparametere i nettlesere låse opp kraftige funksjoner som muliggjør ellers begrensede handlinger, for eksempel eksterne filnedlastinger og omfattende systemtilgang.

Videre opprettholder nettlesere legitime tillatelser til å samhandle med sensitive maskinvareressurser, inkludert mikrofoner, kameraer og skjermopptaksmekanismer, noe som lar angripere utføre overvåkingsaktiviteter samtidig som de blander seg inn i normal systematferd.

Trender

Mest sett

Laster inn...