DRILLAPP Achterdeur
Cybersecurity-analisten hebben een nieuwe dreigingscampagne ontdekt die gericht is op Oekraïense organisaties. Aanwijzingen suggereren betrokkenheid van actoren met banden met Rusland. De activiteit, die voor het eerst werd waargenomen in februari 2026, vertoont technische overeenkomsten met een eerdere operatie die wordt toegeschreven aan de groep Laundry Bear (ook bekend als UAC-0190 of Void Blizzard). Die eerdere campagne was gericht op de Oekraïense strijdkrachten en maakte gebruik van malware genaamd PLUGGYAPE.
De nieuwste aanval introduceert een op JavaScript gebaseerde backdoor die via de Microsoft Edge-browser wordt uitgevoerd. De malware, door onderzoekers DRILLAPP genoemd, is ontworpen om browserfunctionaliteiten te misbruiken om bestanden te uploaden en downloaden, toegang te krijgen tot de microfoon en beelden vast te leggen met de webcam van het slachtoffer.
Aanvallers maken gebruik van social engineering-tactieken om de schadelijke componenten te verspreiden. Lokmiddelen die verwijzen naar juridische kwesties of goede doelen worden gebruikt om slachtoffers aan te moedigen schadelijke bestanden te openen en de infectieketen in gang te zetten.
Inhoudsopgave
Misleidende lokmiddelen en initiële infectiemethode
De campagne is in twee verschillende varianten waargenomen. De eerste versie, die begin februari 2026 werd ontdekt, gebruikt een Windows-snelkoppeling (LNK-bestand) als initiële verspreidingsmethode. Wanneer de snelkoppeling wordt uitgevoerd, wordt een HTML-toepassingsbestand (HTA-bestand) aangemaakt in de tijdelijke map van het systeem. Dit HTA-bestand haalt vervolgens een script op dat op afstand wordt gehost op de legitieme paste-sharingdienst Pastefy.
Om persistentie op geïnfecteerde systemen te behouden, kopiëren de aanvallers het kwaadaardige LNK-bestand naar de opstartmap van Windows, zodat het na elke herstart van het systeem automatisch wordt uitgevoerd. Zodra de infectieketen op gang komt, krijgen slachtoffers URL's te zien met misleidende thema's, waaronder instructies voor het installeren van Starlink of verwijzingen naar de Oekraïense liefdadigheidsinstelling Come Back Alive Foundation.
Het HTA-bestand wordt uiteindelijk uitgevoerd via de Microsoft Edge-browser in headless-modus, waardoor de browser het versleutelde script dat van Pastefy is opgehaald kan uitvoeren zonder een standaard browservenster weer te geven.
Browserparameters misbruiken voor heimelijke toegang
Om zijn mogelijkheden te maximaliseren, start het kwaadwillige proces de Edge-browser met meerdere parameters die de ingebouwde beveiligingsmaatregelen verzwakken en ongeautoriseerde toegang tot gevoelige systeembronnen mogelijk maken.
Deze parameters stellen de browser in staat om gebruikelijke beveiligingsmaatregelen te omzeilen en acties uit te voeren die normaal gesproken door browserbeveiligingsmodellen worden beperkt. De configuratie stelt de malware in staat om toegang te krijgen tot lokale bestanden, audio- en videostreams vast te leggen en schermactiviteit op te nemen zonder enige interactie van het slachtoffer.
De belangrijkste browserparameters die bij de aanval zijn gebruikt, zijn onder meer:
--geen-sandbox
--webbeveiliging uitschakelen
--toegang tot bestanden toestaan
--gebruik-nep-UI-voor-mediastream
--auto-select-screen-capture-source=true
--disable-user-media-security
Door misbruik te maken van deze instellingen, wordt de browser een functioneel onderdeel van de malware-infrastructuur in plaats van slechts een platform voor de verspreiding ervan.
Browsergebaseerde backdoor- en surveillancefunctionaliteiten
Het DRILLAPP-artefact functioneert als een lichtgewicht maar veelzijdige backdoor. Eenmaal geactiveerd, stelt het aanvallers in staat om via browserfunctionaliteiten met het geïnfecteerde systeem te communiceren, waardoor de browser in feite verandert in een hulpmiddel voor bewaking op afstand.
De malware is in staat diverse handelingen uit te voeren die uitgebreide monitoring en gegevensverzameling van geïnfecteerde apparaten mogelijk maken.
De belangrijkste competenties omvatten:
- Bestanden uploaden en downloaden van het lokale systeem.
- Audio opnemen via de microfoon van het apparaat
- Video opnemen via de webcam
- Screenshots maken van het systeemscherm
- Het genereren van een unieke apparaatvingerafdruk met behulp van canvas-vingerafdruktechnieken.
Tijdens de eerste uitvoering genereert de malware een apparaatvingerafdruk en gebruikt Pastefy als een 'dead-drop resolver' om een WebSocket-adres op te halen dat wordt gebruikt voor command-and-control-communicatie. Deze architectuur stelt aanvallers in staat om geïnfecteerde systemen dynamisch om te leiden naar hun operationele infrastructuur.
De backdoor verzendt ook de apparaatvingerafdruk samen met de geschatte geografische locatie van het slachtoffer. De locatie wordt bepaald aan de hand van de tijdzone van het systeem en vergeleken met een vooraf gedefinieerde lijst met landen zoals het Verenigd Koninkrijk, Rusland, Duitsland, Frankrijk, China, Japan, de Verenigde Staten, Brazilië, India, Oekraïne, Canada, Australië, Italië, Spanje en Polen. Als de tijdzone niet overeenkomt met een van deze regio's, identificeert de malware het systeem standaard als zijnde in de Verenigde Staten.
Evoluerende technieken in de tweede campagnevariant
Een tweede versie van de campagne dook eind februari 2026 op, met diverse aanpassingen maar met behoud van de algemene aanvalsstructuur. In plaats van LNK-snelkoppelingen gebruikt de bijgewerkte variant modules van het Windows Configuratiescherm als initiële verspreidingsmethode.
Ook de backdoor-component zelf heeft functionele upgrades gekregen. Deze verbeteringen stellen de malware in staat om complexere bestandsbewerkingen uit te voeren en verbeteren het vermogen om gegevens uit geïnfecteerde omgevingen te stelen.
Opvallende verbeteringen zijn onder meer recursieve bestandsopsomming, het批量 uploaden van bestanden en de mogelijkheid om willekeurige bestanden rechtstreeks naar het gecompromitteerde systeem te downloaden.
JavaScript-beperkingen omzeilen met Chromium-debugtools
Standaard beveiligingsbeperkingen van JavaScript voorkomen doorgaans dat externe code rechtstreeks bestanden downloadt naar het systeem van een slachtoffer. Om deze beperking te omzeilen, maken aanvallers gebruik van het Chrome DevTools Protocol (CDP), een interne debug-interface die wordt gebruikt door op Chromium gebaseerde browsers.
CDP is alleen toegankelijk wanneer de browser wordt gestart met de parameter --remote-debugging-port ingeschakeld. Door deze debugfunctie te activeren, krijgen aanvallers de mogelijkheid om het gedrag van de browser programmatisch te manipuleren en typische client-side beperkingen te omzeilen, waardoor downloads van bestanden op afstand mogelijk worden die anders geblokkeerd zouden zijn.
Indicatoren voor vroege ontwikkeling en experimentele infrastructuur
Er zijn aanwijzingen dat de malware nog steeds actief wordt ontwikkeld. Een vroege variant die op 28 januari 2026 in het wild werd ontdekt, communiceerde uitsluitend met het domein 'gnome.com' in plaats van de primaire payload van Pastefy te halen.
Dit gedrag wijst erop dat de aanvallers mogelijk nog steeds bezig zijn met het verfijnen van zowel hun infrastructuur als de operationele mogelijkheden van de backdoor.
Browsermisbruik als een opkomende ontwijkingsstrategie
Een van de meest significante aspecten van de campagne is het doelbewuste gebruik van een webbrowser als primaire uitvoeringsomgeving voor de backdoor. Deze aanpak benadrukt een groeiende trend waarbij aanvallers legitieme software hergebruiken om detectie te omzeilen.
Browsers bieden diverse voordelen voor kwaadwillende activiteiten. Ze worden veelvuldig gebruikt en doorgaans als onschuldige processen beschouwd, waardoor de kans op onmiddellijke verdenking kleiner is. Bovendien kunnen debugparameters van browsers krachtige mogelijkheden ontsluiten die anders beperkte acties mogelijk maken, zoals het downloaden van bestanden op afstand en uitgebreide systeemtoegang.
Bovendien behouden browsers legitieme machtigingen om te interageren met gevoelige hardwarebronnen, waaronder microfoons, camera's en schermopnamefuncties, waardoor aanvallers surveillanceactiviteiten kunnen uitvoeren zonder hun aanwezigheid te verraden.
