Rabattoffert för flera licenser
Hotdatabas Skadlig programvara DRILLAPP Bakdörr

DRILLAPP Bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

Cybersäkerhetsanalytiker har identifierat en ny hotkampanj riktad mot ukrainska organisationer, med indikatorer som tyder på inblandning från aktörer med kopplingar till Ryssland. Aktiviteten, som först observerades i februari 2026, visar tekniska överlappningar med en tidigare operation som tillskrivits gruppen Laundry Bear (även spårad som UAC-0190 eller Void Blizzard). Den tidigare kampanjen riktade sig mot ukrainska försvarsstyrkor och använde en familj av skadlig kod som heter PLUGGYAPE.

Den senaste operationen introducerar en JavaScript-baserad bakdörr som körs via webbläsaren Microsoft Edge. Skadlig programvara, som forskare kallar DRILLAPP, är utformad för att utnyttja webbläsarens funktioner för att ladda upp och ladda ner filer, komma åt mikrofonen och ta bilder från offrets webbkamera.

Angripare förlitar sig på social ingenjörskonst för att distribuera de skadliga komponenterna. Lockbete som hänvisar till juridiska frågor eller välgörenhetsändamål används för att uppmuntra offer att öppna skadliga filer och initiera infektionskedjan.

Bedrägliga lockbeten och initial infektionsmetod

Kampanjen har observerats i två distinkta varianter. Den första versionen, som upptäcktes i början av februari 2026, använder en Windows-genvägsfil (LNK) som initial leveransmekanism. När genvägen körs skapar den en HTML-applikationsfil (HTA) i systemets temporära katalog. Denna HTA-fil hämtar sedan ett fjärrskript som finns på den legitima inklistringstjänsten Pastefy.

För att upprätthålla skyddet mot komprometterade system kopierar angriparna den skadliga LNK-filen till Windows startmapp, vilket säkerställer att den körs automatiskt efter varje systemomstart. När infektionskedjan börjar visas offren webbadresser som innehåller lockbeteman, inklusive instruktioner relaterade till installation av Starlink eller referenser till den ukrainska välgörenhetsorganisationen Come Back Alive Foundation.

HTA-filen startas slutligen via Microsoft Edge-webbläsaren som arbetar i headless-läge, vilket gör att webbläsaren kan köra det obfuskerade skriptet som hämtats från Pastefy utan att visa ett standardwebbläsarfönster.

Utnyttja webbläsarparametrar för smygåtkomst

För att maximera sina möjligheter startar den skadliga processen Edge-webbläsaren med flera parametrar som försvagar inbyggda säkerhetsskydd och möjliggör obehörig åtkomst till känsliga systemresurser.

Dessa parametrar gör det möjligt för webbläsarinstansen att kringgå typiska skyddsåtgärder och utföra åtgärder som normalt begränsas av webbläsarsäkerhetsmodeller. Konfigurationen gör det möjligt för skadlig programvara att komma åt lokala filer, spela in ljud- och videoströmmar och spela in skärmaktivitet utan att offret behöver interagera.

Viktiga webbläsarparametrar som användes i attacken inkluderar:

--ingen-sandlåda

--inaktivera-webbsäkerhet

--tillåt-filåtkomst-från-filer

--använd-falskt-gränssnitt-för-mediaström

--auto-select-screen-capture-source=true

--inaktivera-användarmediasäkerhet

Genom att missbruka dessa inställningar blir webbläsaren en funktionell del av skadlig kods infrastruktur snarare än bara en leveransplattform.

Webbläsarbaserad bakdörr och övervakningsfunktioner

DRILLAPP-artefakten fungerar som en lätt men mångsidig bakdörr. När den är aktiv gör den det möjligt för angripare att interagera med det infekterade systemet via webbläsaraktiverade funktioner, vilket effektivt omvandlar webbläsaren till ett fjärrövervakningsverktyg.

Skadlig programvara kan utföra flera operationer som möjliggör omfattande övervakning och datainsamling från komprometterade enheter.

Kärnfunktioner inkluderar:

  • Ladda upp och ladda ner filer från det lokala systemet
  • Spela in ljud via enhetens mikrofon
  • Inspelning av video via webbkameran
  • Ta skärmdumpar av systemdisplayen
  • Generera ett unikt enhetsfingeravtryck med hjälp av fingeravtryckstekniker på canvas

Under sin första exekvering genererar skadlig programvara ett fingeravtryck på enheten och använder Pastefy som en "dead-drop-resolver" för att hämta en WebSocket-adress som används för kommando- och kontrollkommunikation. Denna arkitektur gör det möjligt för angripare att dynamiskt omdirigera infekterade system till sin operativa infrastruktur.

Bakdörren överför även enhetens fingeravtryck tillsammans med offrets antagna geografiska plats. Platsen bestäms utifrån systemets tidszon och kontrolleras mot en fördefinierad lista som inkluderar Storbritannien, Ryssland, Tyskland, Frankrike, Kina, Japan, USA, Brasilien, Indien, Ukraina, Kanada, Australien, Italien, Spanien och Polen. Om tidszonen inte matchar någon av dessa regioner identifierar skadlig programvara som standard systemet som beläget i USA.

Utvecklande tekniker i den andra kampanjvarianten

En andra version av kampanjen dök upp i slutet av februari 2026, med flera modifieringar som bibehöll den övergripande attackstrukturen. Istället för att förlita sig på LNK-genvägsfiler använder den uppdaterade varianten Windows Kontrollpanel-moduler som initial leveransmekanism.

Bakdörrskomponenten fick också funktionella uppgraderingar. Dessa förbättringar gör det möjligt för skadlig kod att utföra djupare filsystemoperationer och förbättra dess förmåga att extrahera data från infekterade miljöer.

Anmärkningsvärda förbättringar inkluderar rekursiv filuppräkning, batchfiluppladdningar och möjligheten att ladda ner godtyckliga filer direkt till det komprometterade systemet.

Kringgå JavaScript-begränsningar med Chromium Debugging Tools

Standard JavaScript-säkerhetsrestriktioner förhindrar vanligtvis fjärrkod från att ladda ner filer direkt till ett offers system. För att kringgå denna begränsning använder angriparna Chrome DevTools Protocol (CDP), ett internt felsökningsgränssnitt som används av Chromium-baserade webbläsare.

CDP kan endast nås när webbläsaren startas med parametern --remote-debugging-port aktiverad. Genom att aktivera denna felsökningsfunktion får angriparna möjlighet att kontrollera webbläsarens beteende programmatiskt och kringgå typiska begränsningar på klientsidan, vilket möjliggör fjärrnedladdningar av filer som annars skulle blockeras.

Tidiga utvecklingsindikatorer och experimentell infrastruktur

Bevis tyder på att den skadliga programvaran fortfarande är under aktiv utveckling. En tidig variant som upptäcktes i det fria den 28 januari 2026 kommunicerade uteslutande med domänen 'gnome.com' snarare än att hämta sin primära nyttolast från Pastefy.

Detta beteende indikerar att hotaktörerna fortfarande kan förfina både sin infrastruktur och bakdörrens operativa kapacitet.

Webbläsarmissbruk som en framväxande undanflyktsstrategi

En av de viktigaste aspekterna av kampanjen är den avsiktliga användningen av en webbläsare som primär exekveringsmiljö för bakdörren. Denna metod belyser en växande trend där angripare återanvänder legitim programvara för att undvika upptäckt.

Webbläsare erbjuder flera fördelar för skadliga operationer. De används ofta och anses vanligtvis vara godartade processer, vilket minskar sannolikheten för omedelbar misstanke. Dessutom kan felsökningsparametrar för webbläsare låsa upp kraftfulla funktioner som möjliggör annars begränsade åtgärder, såsom fjärrnedladdningar av filer och omfattande systemåtkomst.

Dessutom har webbläsare legitima behörigheter att interagera med känsliga hårdvaruresurser, inklusive mikrofoner, kameror och skärmdumpningsmekanismer, vilket gör det möjligt för angripare att utföra övervakningsaktiviteter samtidigt som de integreras i systemets normala beteende.

Trendigt

Mest sedda

Läser in...