DRILLAPP задња врата
Аналитичари сајбер безбедности идентификовали су нову кампању претњи усмерену на украјинске организације, са индикаторима који указују на учешће актера повезаних са Русијом. Активност, први пут примећена у фебруару 2026. године, показује техничка преклапања са претходном операцијом која се приписује групи познатој као Laundry Bear (такође праћеној као UAC-0190 или Void Blizzard). Та ранија кампања усмерила је пажњу на украјинске одбрамбене снаге и распоредила породицу злонамерног софтвера под називом PLUGGYAPE.
Најновија операција представља задња врата заснована на ЈаваСкрипту која се извршавају преко прегледача Мајкрософт Еџ. Злонамерни софтвер, који истраживачи називају DRILLAPP, дизајниран је да искористи могућности прегледача како би отпремао и преузимао датотеке, приступао микрофону и снимао слике са веб камере жртве.
Нападачи се ослањају на тактике социјалног инжењеринга како би дистрибуирали злонамерне компоненте. Мамци који се односе на правна питања или добротворне сврхе користе се како би се подстакле жртве да отворе злонамерне датотеке и покрену ланац инфекције.
Преглед садржаја
Обмањујући мамци и почетни метод инфекције
Кампања је примећена у две различите варијанте. Прва верзија, откривена почетком фебруара 2026. године, користи Windows датотеку пречице (LNK) као почетни механизам испоруке. Када се изврши, пречица креира HTML датотеку апликације (HTA) унутар привременог директоријума система. Ова HTA датотека затим преузима удаљени скрипт хостован на легитимном сервису за дељење пасте Pastefy.
Да би одржали постојаност на компромитованим системима, нападачи копирају злонамерну LNK датотеку у фолдер „Startup“ система Windows, осигуравајући да се она аутоматски покреће након сваког поновног покретања система. Када ланац инфекције започне, жртвама се приказују URL-ови који садрже мамце, укључујући упутства везана за инсталирање Starlink-а или референце на украјинску добротворну организацију „Come Back Alive Foundation“.
ХТА датотека се на крају покреће преко прегледача Microsoft Edge који ради у режиму без извршавања команде, омогућавајући прегледачу да изврши замаскирани скрипт преузет из Pastefy-ја без приказивања стандардног прозора прегледача.
Искоришћавање параметара прегледача за прикривени приступ
Да би максимизирао своје могућности, злонамерни процес покреће Edge прегледач са вишеструким параметрима који слабе уграђене безбедносне заштите и омогућавају неовлашћени приступ осетљивим системским ресурсима.
Ови параметри омогућавају инстанци прегледача да заобиђе типичне заштитне мере и изврши радње које су обично ограничене моделима безбедности прегледача. Конфигурација ефикасно омогућава злонамерном софтверу да приступа локалним датотекама, снима аудио и видео токове и снима активности на екрану без потребе за било каквом интеракцијом жртве.
Кључни параметри прегледача који се користе у нападу укључују:
--без песковника
--disable-web-security
--дозволи-приступ-датотекама-из-датотека
--use-fake-ui-for-media-stream
--аутоматски-избор-извора-снимања-екрана=тачно
--disable-user-media-security
Злоупотребом ових подешавања, прегледач постаје функционална компонента инфраструктуре злонамерног софтвера, а не само платформа за испоруку.
Могућности заштитног приступа и надзора засноване на прегледачу
Артефакт DRILLAPP функционише као лаган, али свестран задњи улаз. Када се активира, омогућава нападачима да интерагују са зараженим системом путем могућности прегледача, ефикасно трансформишући прегледач у алат за даљински надзор.
Злонамерни софтвер је способан да обавља неколико операција које омогућавају опсежно праћење и прикупљање података са угрожених уређаја.
Основне могућности укључују:
- Отпремање и преузимање датотека са локалног система
- Снимање звука преко микрофона уређаја
- Снимање видеа преко веб камере
- Прављење снимака екрана системског екрана
- Генерисање јединственог отиска прста уређаја коришћењем техника отиска прста на платну
Током свог првог извршавања, злонамерни софтвер генерише отисак прста уређаја и користи Pastefy као „решавач мртвих локација“ да би преузео WebSocket адресу која се користи за комуникацију командовања и контроле. Ова архитектура омогућава нападачима да динамички преусмеравају заражене системе на своју оперативну инфраструктуру.
Бакдоор такође преноси отисак прста уређаја заједно са претпостављеном географском локацијом жртве. Локација се одређује на основу временске зоне система и проверава у односу на унапред дефинисану листу која укључује Уједињено Краљевство, Русију, Немачку, Француску, Кину, Јапан, Сједињене Америчке Државе, Бразил, Индију, Украјину, Канаду, Аустралију, Италију, Шпанију и Пољску. Ако се временска зона не подудара ни са једним од ових региона, злонамерни софтвер подразумевано идентификује систем као да се налази у Сједињеним Америчким Државама.
Развој техника у другој варијанти кампање
Друга верзија кампање појавила се крајем фебруара 2026. године, уводећи неколико модификација уз задржавање целокупне структуре напада. Уместо ослањања на LNK датотеке пречица, ажурирана варијанта користи модуле Windows контролне табле као почетни механизам испоруке.
Сама компонента бекдора је такође добила функционална побољшања. Ова побољшања омогућавају злонамерном софтверу да обавља дубље операције система датотека и побољшавају његову способност да извуче податке из заражених окружења.
Значајна побољшања укључују рекурзивно набрајање датотека, отпремање пакетних датотека и могућност преузимања произвољних датотека директно на угрожени систем.
Заобилажење ограничења ЈаваСкрипта помоћу алата за отклањање грешака у Хромију
Стандардна безбедносна ограничења ЈаваСкрипта обично спречавају удаљени код да директно преузима датотеке на систем жртве. Да би заобишли ово ограничење, нападачи користе Chrome DevTools Protocol (CDP), интерни интерфејс за отклањање грешака који користе прегледачи засновани на Chromium-у.
CDP-у се може приступити само када је прегледач покренут са омогућеним параметром --remote-debugging-port. Активирањем ове функционалности за отклањање грешака, нападачи добијају могућност да програмски контролишу понашање прегледача и заобилазе типична ограничења на страни клијента, омогућавајући удаљено преузимање датотека које би иначе биле блокиране.
Индикатори раног развоја и експериментална инфраструктура
Докази указују на то да је злонамерни софтвер још увек у активном развоју. Рана варијанта откривена у јавности 28. јануара 2026. године, комуницирала је искључиво са доменом „gnome.com“ уместо да преузима свој примарни садржај са Pastefy-ја.
Овакво понашање указује на то да актери претње можда још увек усавршавају и своју инфраструктуру и оперативне могућности задњег улаза.
Злоупотреба прегледача као нова стратегија избегавања
Један од најзначајнијих аспеката кампање је намерна употреба веб прегледача као примарног окружења за извршавање бекдора. Овај приступ истиче растући тренд у којем нападачи пренамењују легитимни софтвер како би избегли откривање.
Прегледачи пружају неколико предности за злонамерне операције. Они се широко користе и обично се сматрају бенигним процесима, смањујући вероватноћу непосредне сумње. Поред тога, параметри за отклањање грешака у прегледачу могу откључати моћне могућности које омогућавају иначе ограничене радње, као што су даљинско преузимање датотека и опсежан приступ систему.
Штавише, прегледачи одржавају легитимне дозволе за интеракцију са осетљивим хардверским ресурсима, укључујући микрофоне, камере и механизме за снимање екрана, што омогућава нападачима да обављају активности надзора док се истовремено уклапају у нормално понашање система.
