DRILLAPP Backdoor
Аналитики в области кибербезопасности выявили новую кампанию угроз, направленную против украинских организаций, с признаками участия лиц, связанных с Россией. Эта активность, впервые зафиксированная в феврале 2026 года, имеет технические сходства с предыдущей операцией, приписываемой группе, известной как Laundry Bear (также отслеживаемой как UAC-0190 или Void Blizzard). Та более ранняя кампания была направлена против украинских сил обороны и использовала семейство вредоносных программ под названием PLUGGYAPE.
В ходе последней операции был внедрен бэкдор на основе JavaScript, реализуемый через браузер Microsoft Edge. Вредоносная программа, получившая у исследователей название DRILLAPP, предназначена для использования возможностей браузера с целью загрузки и скачивания файлов, доступа к микрофону и захвата изображений с веб-камеры жертвы.
Злоумышленники используют методы социальной инженерии для распространения вредоносных компонентов. Для того чтобы побудить жертв открыть вредоносные файлы и запустить цепочку заражения, используются приманки, содержащие отсылки к юридическим вопросам или благотворительным целям.
Оглавление
Обманчивые приманки и метод первоначального заражения
Кампания наблюдалась в двух различных вариантах. Первый вариант, обнаруженный в начале февраля 2026 года, использует файл ярлыка Windows (LNK) в качестве начального механизма доставки. При запуске ярлык создает файл HTML-приложения (HTA) во временном каталоге системы. Затем этот файл HTA загружает удаленный скрипт, размещенный на легитимном сервисе обмена вставками Pastefy.
Для обеспечения постоянного присутствия на скомпрометированных системах злоумышленники копируют вредоносный файл LNK в папку автозагрузки Windows, обеспечивая его автоматическое выполнение после каждой перезагрузки системы. После начала цепочки заражения жертвам предлагаются URL-адреса, содержащие ложные темы, включая инструкции по установке Starlink или ссылки на украинский благотворительный фонд Come Back Alive Foundation.
В конечном итоге HTA-файл запускается через браузер Microsoft Edge, работающий в безголовом режиме, что позволяет браузеру выполнять обфусцированный скрипт, полученный с Pastefy, без отображения стандартного окна браузера.
Использование параметров браузера для скрытого доступа
Для максимального раскрытия своего потенциала вредоносный процесс запускает браузер Edge с множеством параметров, которые ослабляют встроенные средства защиты и позволяют получить несанкционированный доступ к конфиденциальным системным ресурсам.
Эти параметры позволяют экземпляру браузера обходить типичные средства защиты и выполнять действия, обычно ограниченные моделями безопасности браузера. Конфигурация фактически позволяет вредоносному ПО получать доступ к локальным файлам, захватывать аудио- и видеопотоки и записывать действия на экране без какого-либо взаимодействия со стороны жертвы.
Ключевые параметры браузера, использованные в атаке, включают:
--без песочницы
--disable-web-security
--allow-file-access-from-files
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Злоупотребление этими настройками превращает браузер из просто платформы доставки в функциональный компонент инфраструктуры вредоносного ПО.
Браузерные бэкдоры и возможности слежки
Артефакт DRILLAPP функционирует как легкий, но универсальный бэкдор. После активации он позволяет злоумышленникам взаимодействовать с зараженной системой через возможности браузера, фактически превращая браузер в инструмент удаленного наблюдения.
Вредоносная программа способна выполнять ряд операций, позволяющих осуществлять масштабный мониторинг и сбор данных с скомпрометированных устройств.
К основным возможностям относятся:
- Загрузка и скачивание файлов с локальной системы.
- Запись звука через микрофон устройства
- Запись видео через веб-камеру.
- Создание снимков экрана системы
- Создание уникального отпечатка устройства с использованием методов дактилоскопии на основе холста.
В ходе первого запуска вредоносная программа генерирует отпечаток устройства и использует Pastefy в качестве «перехватчика данных» для получения адреса WebSocket, используемого для связи между командами и управлением. Такая архитектура позволяет злоумышленникам динамически перенаправлять зараженные системы на свою операционную инфраструктуру.
Бэкдор также передает отпечаток устройства вместе с предполагаемым географическим местоположением жертвы. Местоположение определяется по часовому поясу системы и проверяется по заранее определенному списку, включающему Великобританию, Россию, Германию, Францию, Китай, Японию, США, Бразилию, Индию, Украину, Канаду, Австралию, Италию, Испанию и Польшу. Если часовой пояс не совпадает ни с одним из этих регионов, вредоносная программа по умолчанию определяет систему как расположенную в Соединенных Штатах.
Развитие техник во втором варианте кампании
Вторая версия кампании появилась в конце февраля 2026 года, внеся ряд изменений, но сохранив общую структуру атаки. Вместо использования файлов ярлыков LNK, обновленный вариант использует модули панели управления Windows в качестве механизма первоначальной доставки.
Сам компонент бэкдора также получил функциональные обновления. Эти улучшения позволяют вредоносной программе выполнять более сложные операции с файловой системой и повышают ее способность к извлечению данных из зараженных сред.
К числу существенных улучшений относятся рекурсивный перечисление файлов, пакетная загрузка файлов и возможность загрузки произвольных файлов непосредственно на скомпрометированную систему.
Обход ограничений JavaScript с помощью инструментов отладки Chromium
Стандартные ограничения безопасности JavaScript обычно не позволяют удалённому коду напрямую загружать файлы в систему жертвы. Чтобы обойти это ограничение, злоумышленники используют протокол Chrome DevTools Protocol (CDP), внутренний интерфейс отладки, используемый браузерами на основе Chromium.
Доступ к CDP возможен только при запуске браузера с включенным параметром --remote-debugging-port. Активировав эту функцию отладки, злоумышленники получают возможность программно управлять поведением браузера и обходить типичные ограничения на стороне клиента, что позволяет осуществлять удаленную загрузку файлов, которая в противном случае была бы заблокирована.
Ранние показатели развития и экспериментальная инфраструктура
Имеющиеся данные свидетельствуют о том, что вредоносная программа все еще находится в стадии активной разработки. Ранний вариант, обнаруженный в сети 28 января 2026 года, взаимодействовал исключительно с доменом 'gnome.com', а не получал свою основную полезную нагрузку от Pastefy.
Такое поведение указывает на то, что злоумышленники, возможно, все еще совершенствуют как свою инфраструктуру, так и оперативные возможности бэкдора.
Злоупотребление браузером как новая стратегия уклонения от ответственности
Одним из наиболее значимых аспектов кампании является преднамеренное использование веб-браузера в качестве основной среды выполнения для бэкдора. Такой подход подчеркивает растущую тенденцию, когда злоумышленники перепрофилируют легитимное программное обеспечение для обхода обнаружения.
Браузеры предоставляют ряд преимуществ для вредоносных операций. Они широко используются и обычно считаются безобидными процессами, что снижает вероятность немедленного подозрения. Кроме того, параметры отладки браузера могут разблокировать мощные возможности, позволяющие совершать действия, которые в противном случае были бы ограничены, такие как удаленная загрузка файлов и расширенный доступ к системе.
Кроме того, браузеры сохраняют законные права доступа к конфиденциальным аппаратным ресурсам, включая микрофоны, камеры и механизмы захвата экрана, что позволяет злоумышленникам осуществлять слежку, незаметно внедряясь в обычную работу системы.
