DRILLAPP ब्याकडोर

साइबर सुरक्षा विश्लेषकहरूले युक्रेनी संस्थाहरूलाई लक्षित गर्दै नयाँ खतरा अभियान पहिचान गरेका छन्, जसमा रूससँग सम्बन्धित कलाकारहरूको संलग्नता रहेको संकेत गर्ने संकेतहरू छन्। फेब्रुअरी २०२६ मा पहिलो पटक अवलोकन गरिएको यो गतिविधिले लान्ड्री बियर (UAC-0190 वा Void Blizzard को रूपमा पनि ट्र्याक गरिएको) भनेर चिनिने समूहसँग सम्बन्धित अघिल्लो अपरेशनसँग प्राविधिक ओभरल्यापहरू देखाउँछ। त्यो पहिलेको अभियानले युक्रेनी रक्षा बलहरूलाई लक्षित गर्‍यो र PLUGGYAPE भनिने मालवेयर परिवार तैनाथ गर्‍यो।

पछिल्लो अपरेशनले माइक्रोसफ्ट एज ब्राउजर मार्फत कार्यान्वयन गरिएको जाभास्क्रिप्ट-आधारित ब्याकडोर प्रस्तुत गर्दछ। अनुसन्धानकर्ताहरूले DRILLAPP भनेर चिनिने मालवेयर, फाइलहरू अपलोड र डाउनलोड गर्न, माइक्रोफोन पहुँच गर्न र पीडितको वेबक्यामबाट छविहरू खिच्न ब्राउजर क्षमताहरूको शोषण गर्न डिजाइन गरिएको हो।

आक्रमणकारीहरू दुर्भावनापूर्ण घटकहरू वितरण गर्न सामाजिक इन्जिनियरिङ रणनीतिहरूमा भर पर्छन्। कानुनी मामिलाहरू वा परोपकारी कारणहरूलाई सन्दर्भ गर्ने प्रलोभनहरू पीडितहरूलाई दुर्भावनापूर्ण फाइलहरू खोल्न र संक्रमण श्रृंखला सुरु गर्न प्रोत्साहित गर्न प्रयोग गरिन्छ।

भ्रामक आकर्षण र प्रारम्भिक संक्रमण विधि

यो अभियान दुई फरक भेरियन्टहरूमा अवलोकन गरिएको छ। फेब्रुअरी २०२६ को सुरुमा पत्ता लागेको पहिलो संस्करणले प्रारम्भिक डेलिभरी संयन्त्रको रूपमा विन्डोज सर्टकट (LNK) फाइल प्रयोग गर्दछ। कार्यान्वयन गर्दा, सर्टकटले प्रणालीको अस्थायी निर्देशिका भित्र HTML अनुप्रयोग (HTA) फाइल सिर्जना गर्दछ। त्यसपछि यो HTA फाइलले वैध पेस्ट-साझेदारी सेवा Pastefy मा होस्ट गरिएको रिमोट स्क्रिप्ट पुन: प्राप्त गर्दछ।

सम्झौता गरिएका प्रणालीहरूमा स्थिरता कायम राख्न, आक्रमणकारीहरूले दुर्भावनापूर्ण LNK फाइललाई Windows Startup फोल्डरमा प्रतिलिपि गर्छन्, जसले गर्दा प्रत्येक प्रणाली रिबुट पछि यो स्वचालित रूपमा कार्यान्वयन हुन्छ। एक पटक संक्रमण शृङ्खला सुरु भएपछि, पीडितहरूलाई स्टारलिङ्क स्थापना गर्ने सम्बन्धी निर्देशनहरू वा युक्रेनी च्यारिटी कम ब्याक अलाइभ फाउन्डेसनको सन्दर्भहरू सहित डिकोय थिमहरू भएका URL हरू प्रस्तुत गरिन्छन्।

HTA फाइल अन्ततः हेडलेस मोडमा सञ्चालन हुने माइक्रोसफ्ट एज ब्राउजर मार्फत सुरु हुन्छ, जसले ब्राउजरलाई मानक ब्राउजर विन्डो प्रदर्शन नगरी Pastefy बाट प्राप्त गरिएको अस्पष्ट स्क्रिप्ट कार्यान्वयन गर्न अनुमति दिन्छ।

स्टेल्थ पहुँचको लागि ब्राउजर प्यारामिटरहरूको शोषण गर्दै

यसको क्षमताहरूलाई अधिकतम बनाउन, दुर्भावनापूर्ण प्रक्रियाले एज ब्राउजरलाई धेरै प्यारामिटरहरूसँग लन्च गर्दछ जसले निर्मित सुरक्षा सुरक्षाहरूलाई कमजोर बनाउँछ र संवेदनशील प्रणाली स्रोतहरूमा अनधिकृत पहुँच सक्षम गर्दछ।

यी प्यारामिटरहरूले ब्राउजर इन्स्ट्यान्सलाई सामान्य सुरक्षा उपायहरू बाइपास गर्न र ब्राउजर सुरक्षा मोडेलहरूद्वारा सामान्यतया प्रतिबन्धित कार्यहरू गर्न अनुमति दिन्छ। कन्फिगरेसनले प्रभावकारी रूपमा मालवेयरलाई स्थानीय फाइलहरू पहुँच गर्न, अडियो र भिडियो स्ट्रिमहरू खिच्न, र पीडितबाट कुनै पनि अन्तरक्रियाको आवश्यकता बिना स्क्रिन गतिविधि रेकर्ड गर्न सक्षम बनाउँछ।

आक्रमणमा प्रयोग गरिएका प्रमुख ब्राउजर प्यारामिटरहरू समावेश छन्:

--नो-स्यान्डबक्स

--वेब-सुरक्षा-अक्षम पार्नुहोस्

--फाइलहरूबाट-फाइल-पहुँच-अनुमति दिनुहोस्

--मिडिया-स्ट्रिमको लागि-नक्कली-ui-प्रयोग गर्नुहोस्

--स्वचालित-चयन-स्क्रिन-क्याप्चर-स्रोत=सत्य

--प्रयोगकर्ता-मिडिया-सुरक्षा-अक्षम पार्नुहोस्

यी सेटिङहरूको दुरुपयोग गरेर, ब्राउजर केवल डेलिभरी प्लेटफर्मको सट्टा मालवेयर पूर्वाधारको एक कार्यात्मक घटक बन्छ।

ब्राउजर-आधारित ब्याकडोर र निगरानी क्षमताहरू

DRILLAPP कलाकृतिले हल्का तर बहुमुखी ब्याकडोरको रूपमा काम गर्छ। एक पटक सक्रिय भएपछि, यसले आक्रमणकारीहरूलाई ब्राउजर-सक्षम क्षमताहरू मार्फत संक्रमित प्रणालीसँग अन्तर्क्रिया गर्न सक्षम बनाउँछ, प्रभावकारी रूपमा ब्राउजरलाई टाढाको निगरानी उपकरणमा रूपान्तरण गर्दछ।

यो मालवेयरले धेरै कार्यहरू गर्न सक्षम छ जसले सम्झौता गरिएका उपकरणहरूबाट व्यापक निगरानी र डेटा सङ्कलनलाई अनुमति दिन्छ।

मुख्य क्षमताहरूमा समावेश छन्:

• स्थानीय प्रणालीबाट फाइलहरू अपलोड र डाउनलोड गर्दै
• उपकरणको माइक्रोफोन मार्फत अडियो खिच्दै
• वेबक्याम मार्फत भिडियो रेकर्ड गर्दै
• प्रणाली प्रदर्शनको स्क्रिनसट लिँदै
• क्यानभास फिंगरप्रिन्टिङ प्रविधिहरू प्रयोग गरेर एक अद्वितीय उपकरण फिंगरप्रिन्ट उत्पन्न गर्दै

यसको पहिलो कार्यान्वयनको क्रममा, मालवेयरले उपकरणको फिंगरप्रिन्ट उत्पन्न गर्दछ र कमाण्ड-एन्ड-कन्ट्रोल सञ्चारको लागि प्रयोग गरिने वेबसकेट ठेगाना पुन: प्राप्त गर्न 'डेड-ड्रप रिजल्भर' को रूपमा पास्टेफी प्रयोग गर्दछ। यो वास्तुकलाले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूलाई तिनीहरूको सञ्चालन पूर्वाधारमा गतिशील रूपमा रिडिरेक्ट गर्न अनुमति दिन्छ।

ब्याकडोरले पीडितको अनुमानित भौगोलिक स्थानसँगै उपकरणको फिंगरप्रिन्ट पनि प्रसारण गर्दछ। स्थान प्रणालीको समय क्षेत्रबाट निर्धारण गरिन्छ र संयुक्त अधिराज्य, रूस, जर्मनी, फ्रान्स, चीन, जापान, संयुक्त राज्य अमेरिका, ब्राजिल, भारत, युक्रेन, क्यानडा, अष्ट्रेलिया, इटाली, स्पेन र पोल्याण्ड समावेश गर्ने पूर्वनिर्धारित सूची विरुद्ध जाँच गरिन्छ। यदि समय क्षेत्र यी मध्ये कुनै पनि क्षेत्रसँग मेल खाँदैन भने, मालवेयरले प्रणालीलाई संयुक्त राज्य अमेरिकामा अवस्थित रूपमा पहिचान गर्न पूर्वनिर्धारित गर्दछ।

दोस्रो अभियान भेरियन्टमा विकसित प्रविधिहरू

अभियानको दोस्रो संस्करण फेब्रुअरी २०२६ को अन्त्यमा देखा पर्‍यो, जसले समग्र आक्रमण संरचनालाई कायम राख्दै धेरै परिमार्जनहरू प्रस्तुत गर्‍यो। LNK सर्टकट फाइलहरूमा भर पर्नुको सट्टा, अद्यावधिक गरिएको संस्करणले प्रारम्भिक डेलिभरी संयन्त्रको रूपमा विन्डोज कन्ट्रोल प्यानल मोड्युलहरू प्रयोग गर्दछ।

ब्याकडोर कम्पोनेन्टले पनि कार्यात्मक अपग्रेडहरू प्राप्त गर्यो। यी सुधारहरूले मालवेयरलाई गहिरो फाइल प्रणाली सञ्चालन गर्न र संक्रमित वातावरणबाट डेटा निकाल्ने क्षमतामा सुधार गर्न अनुमति दिन्छ।

उल्लेखनीय सुधारहरूमा पुनरावर्ती फाइल गणना, ब्याच फाइल अपलोड, र सम्झौता गरिएको प्रणालीमा सिधै मनमानी फाइलहरू डाउनलोड गर्ने क्षमता समावेश छ।

क्रोमियम डिबगिङ उपकरणहरूको साथ जाभास्क्रिप्ट प्रतिबन्धहरू बाइपास गर्दै

मानक जाभास्क्रिप्ट सुरक्षा प्रतिबन्धहरूले सामान्यतया रिमोट कोडलाई पीडितको प्रणालीमा सिधै फाइलहरू डाउनलोड गर्नबाट रोक्छ। यो सीमालाई रोक्न, आक्रमणकारीहरूले क्रोमियम-आधारित ब्राउजरहरूले प्रयोग गर्ने आन्तरिक डिबगिङ इन्टरफेस, क्रोम डेभटूल प्रोटोकल (CDP) को लाभ उठाउँछन्।

ब्राउजरलाई --remote-debugging-port प्यारामिटर सक्षम पारेर सुरु गर्दा मात्र CDP पहुँच गर्न सकिन्छ। यो डिबगिङ कार्यक्षमता सक्रिय गरेर, आक्रमणकारीहरूले ब्राउजर व्यवहारलाई प्रोग्रामेटिक रूपमा नियन्त्रण गर्ने र विशिष्ट क्लाइन्ट-साइड प्रतिबन्धहरूलाई बाइपास गर्ने क्षमता प्राप्त गर्छन्, जसले गर्दा अन्यथा अवरुद्ध हुने रिमोट फाइल डाउनलोडहरू सक्षम हुन्छन्।

प्रारम्भिक विकास सूचकहरू र प्रयोगात्मक पूर्वाधार

प्रमाणले संकेत गर्छ कि मालवेयर अझै सक्रिय विकास अन्तर्गत छ। जनवरी २८, २०२६ मा जंगलमा पत्ता लागेको प्रारम्भिक संस्करणले Pastefy बाट यसको प्राथमिक पेलोड प्राप्त गर्नुको सट्टा 'gnome.com' डोमेनसँग विशेष रूपमा सञ्चार गर्‍यो।

यो व्यवहारले संकेत गर्छ कि खतरा कारकहरूले अझै पनि आफ्नो पूर्वाधार र पछाडिको ढोकाको सञ्चालन क्षमता दुवैलाई परिष्कृत गरिरहेका हुन सक्छन्।

ब्राउजर दुरुपयोग एक उदीयमान चोरी रणनीतिको रूपमा

अभियानको सबैभन्दा महत्त्वपूर्ण पक्षहरू मध्ये एक भनेको ब्याकडोरको लागि प्राथमिक कार्यान्वयन वातावरणको रूपमा वेब ब्राउजरको जानाजानी प्रयोग हो। यो दृष्टिकोणले बढ्दो प्रवृत्तिलाई हाइलाइट गर्दछ जहाँ आक्रमणकारीहरूले पत्ता लगाउनबाट बच्न वैध सफ्टवेयरलाई पुन: प्रयोग गर्छन्।

ब्राउजरहरूले दुर्भावनापूर्ण कार्यहरूको लागि धेरै फाइदाहरू प्रदान गर्छन्। तिनीहरू व्यापक रूपमा प्रयोग गरिन्छ र सामान्यतया सौम्य प्रक्रियाहरू मानिन्छन्, जसले गर्दा तत्काल शंकाको सम्भावना कम हुन्छ। थप रूपमा, ब्राउजर डिबगिङ प्यारामिटरहरूले शक्तिशाली क्षमताहरू अनलक गर्न सक्छन् जसले अन्यथा प्रतिबन्धित कार्यहरू सक्षम गर्दछ, जस्तै रिमोट फाइल डाउनलोडहरू र व्यापक प्रणाली पहुँच।

यसबाहेक, ब्राउजरहरूले माइक्रोफोन, क्यामेरा र स्क्रिन-क्याप्चर संयन्त्रहरू सहित संवेदनशील हार्डवेयर स्रोतहरूसँग अन्तर्क्रिया गर्न वैध अनुमतिहरू कायम राख्छन्, जसले आक्रमणकारीहरूलाई सामान्य प्रणाली व्यवहारमा मिसिएर निगरानी गतिविधिहरू गर्न अनुमति दिन्छ।