Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zadnja vrata DRILLAPP

Zadnja vrata DRILLAPP

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Analitiki za kibernetsko varnost so odkrili novo kampanjo groženj, usmerjeno proti ukrajinskim organizacijam, pri čemer kazalniki kažejo na vpletenost akterjev, povezanih z Rusijo. Dejavnost, ki so jo prvič opazili februarja 2026, kaže tehnično prekrivanje s prejšnjo operacijo, pripisano skupini, znani kot Laundry Bear (sledena tudi kot UAC-0190 ali Void Blizzard). Ta prejšnja kampanja je bila usmerjena proti ukrajinskim obrambnim silam in je uporabila družino zlonamerne programske opreme, imenovano PLUGGYAPE.

Najnovejša operacija uvaja zadnja vrata, ki temeljijo na JavaScriptu in se izvajajo prek brskalnika Microsoft Edge. Zlonamerna programska oprema, ki jo raziskovalci imenujejo DRILLAPP, je zasnovana tako, da izkorišča zmogljivosti brskalnika za nalaganje in prenos datotek, dostop do mikrofona in zajemanje slik s spletne kamere žrtve.

Napadalci se za distribucijo zlonamernih komponent zanašajo na taktike socialnega inženiringa. Vabe, ki se nanašajo na pravne zadeve ali dobrodelne namene, se uporabljajo za spodbujanje žrtev k odpiranju zlonamernih datotek in sprožitvi verige okužbe.

Zavajajoče vabe in začetna metoda okužbe

Kampanja je bila opažena v dveh različnih različicah. Prva različica, zaznana v začetku februarja 2026, uporablja datoteko bližnjice sistema Windows (LNK) kot začetni mehanizem dostave. Ko se izvede, bližnjica ustvari datoteko aplikacije HTML (HTA) v začasnem imeniku sistema. Ta datoteka HTA nato pridobi oddaljeni skript, ki gostuje na legitimni storitvi za skupno rabo prilepljenih datotek Pastefy.

Da bi ohranili obstojnost v ogroženih sistemih, napadalci kopirajo zlonamerno datoteko LNK v mapo zagona sistema Windows in tako zagotovijo, da se samodejno zažene po vsakem ponovnem zagonu sistema. Ko se začne veriga okužbe, se žrtvam prikažejo URL-ji z vabljivimi temami, vključno z navodili za namestitev Starlinka ali sklici na ukrajinsko dobrodelno organizacijo Come Back Alive Foundation.

Datoteka HTA se na koncu zažene prek brskalnika Microsoft Edge, ki deluje v načinu brez nadzora, kar brskalniku omogoča izvajanje zakritega skripta, pridobljenega iz Pastefyja, brez prikaza standardnega okna brskalnika.

Izkoriščanje parametrov brskalnika za prikrit dostop

Da bi kar najbolje izkoristil svoje zmogljivosti, zlonamerni proces zažene brskalnik Edge z več parametri, ki oslabijo vgrajeno varnostno zaščito in omogočijo nepooblaščen dostop do občutljivih sistemskih virov.

Ti parametri omogočajo brskalniku, da zaobide običajne zaščitne ukrepe in izvede dejanja, ki jih običajno omejujejo varnostni modeli brskalnika. Konfiguracija učinkovito omogoča zlonamerni programski opremi dostop do lokalnih datotek, zajemanje zvočnih in video tokov ter snemanje aktivnosti na zaslonu brez kakršne koli interakcije žrtve.

Ključni parametri brskalnika, uporabljeni v napadu, vključujejo:

--brez-peskovnika

--onemogoči-spletno-varnost

--dovoli-dostop-do-datotek-iz-datotek

--uporabite-ponarejeni-ui-za-medijski-tok

--auto-select-screen-capture-source=true

--onemogočite varnost uporabnikov in medijev

Z zlorabo teh nastavitev brskalnik postane funkcionalna komponenta infrastrukture zlonamerne programske opreme in ne zgolj platforma za dostavo.

Zmogljivosti za vdor v brskalnik in nadzor

Artefakt DRILLAPP deluje kot lahka, a vsestranska zadnja vrata. Ko so aktivna, napadalcem omogočajo interakcijo z okuženim sistemom prek funkcij brskalnika, s čimer brskalnik učinkovito spremenijo v orodje za oddaljeni nadzor.

Zlonamerna programska oprema je sposobna izvajati več operacij, ki omogočajo obsežno spremljanje in zbiranje podatkov z ogroženih naprav.

Ključne zmogljivosti vključujejo:

  • Nalaganje in prenašanje datotek iz lokalnega sistema
  • Snemanje zvoka prek mikrofona naprave
  • Snemanje videa prek spletne kamere
  • Zajemanje posnetkov zaslona sistema
  • Ustvarjanje edinstvenega prstnega odtisa naprave z uporabo tehnik prstnih odtisov na platnu

Med prvim izvajanjem zlonamerna programska oprema ustvari prstni odtis naprave in uporabi Pastefy kot »razreševalec mrtvih lokacij« za pridobitev naslova WebSocket, ki se uporablja za komunikacijo ukazov in nadzora. Ta arhitektura napadalcem omogoča dinamično preusmeritev okuženih sistemov na njihovo operativno infrastrukturo.

Zadnja vrata poleg ugotovljene geografske lokacije žrtve posredujejo tudi prstni odtis naprave. Lokacija se določi na podlagi časovnega pasu sistema in preveri z vnaprej določenim seznamom, ki vključuje Združeno kraljestvo, Rusijo, Nemčijo, Francijo, Kitajsko, Japonsko, Združene države Amerike, Brazilijo, Indijo, Ukrajino, Kanado, Avstralijo, Italijo, Španijo in Poljsko. Če se časovni pas ne ujema z nobeno od teh regij, zlonamerna programska oprema privzeto prepozna sistem kot lociran v Združenih državah Amerike.

Razvoj tehnik v drugi različici kampanje

Druga različica kampanje se je pojavila konec februarja 2026 in je uvedla več sprememb, hkrati pa ohranila celotno strukturo napada. Namesto da bi se zanašala na datoteke bližnjic LNK, posodobljena različica kot začetni mehanizem za izvajanje uporablja module nadzorne plošče sistema Windows.

Tudi sama komponenta zadnjih vrat je bila deležna funkcionalnih nadgradenj. Te izboljšave omogočajo zlonamerni programski opremi izvajanje globljih operacij datotečnega sistema in izboljšujejo njeno sposobnost pridobivanja podatkov iz okuženih okolij.

Med pomembnejšimi izboljšavami so rekurzivno naštevanje datotek, paketno nalaganje datotek in možnost prenosa poljubnih datotek neposredno na ogroženi sistem.

Obhod omejitev JavaScripta z orodji za odpravljanje napak Chromium

Standardne varnostne omejitve JavaScripta običajno preprečujejo oddaljeni kodi, da bi neposredno prenesla datoteke na sistem žrtve. Da bi zaobšli to omejitev, napadalci izkoriščajo protokol Chrome DevTools Protocol (CDP), notranji vmesnik za odpravljanje napak, ki ga uporabljajo brskalniki, ki temeljijo na Chromiumu.

Dostop do CDP je mogoč le, če je brskalnik zagnan z omogočenim parametrom --remote-debugging-port. Z aktiviranjem te funkcije odpravljanja napak napadalci pridobijo možnost programskega nadzora nad delovanjem brskalnika in obhoda tipičnih omejitev na strani odjemalca, kar omogoča oddaljene prenose datotek, ki bi bili sicer blokirani.

Kazalniki zgodnjega razvoja in eksperimentalna infrastruktura

Dokazi kažejo, da je zlonamerna programska oprema še vedno v aktivnem razvoju. Zgodnja različica, odkrita v naravi 28. januarja 2026, je komunicirala izključno z domeno »gnome.com«, namesto da bi svoj primarni koristni tovor pridobivala iz Pastefyja.

Takšno vedenje kaže, da akterji grožnje morda še vedno izpopolnjujejo tako svojo infrastrukturo kot operativne zmogljivosti zadnjih vrat.

Zloraba brskalnika kot nova strategija izogibanja

Eden najpomembnejših vidikov kampanje je namerna uporaba spletnega brskalnika kot primarnega izvajalnega okolja za zadnja vrata. Ta pristop poudarja naraščajoč trend, pri katerem napadalci ponovno uporabljajo legitimno programsko opremo, da bi se izognili odkrivanju.

Brskalniki ponujajo več prednosti za zlonamerne operacije. So široko uporabljeni in običajno veljajo za neškodljive procese, kar zmanjšuje verjetnost takojšnjega suma. Poleg tega lahko parametri za odpravljanje napak v brskalniku odklenejo zmogljive zmogljivosti, ki omogočajo sicer omejena dejanja, kot so oddaljeni prenosi datotek in obsežen dostop do sistema.

Poleg tega brskalniki ohranjajo legitimna dovoljenja za interakcijo z občutljivimi strojnimi viri, vključno z mikrofoni, kamerami in mehanizmi za zajem zaslona, kar napadalcem omogoča izvajanje nadzornih dejavnosti, medtem ko se zlivajo z običajnim delovanjem sistema.

V trendu

Najbolj gledan

Nalaganje...