DRILLAPP Backdoor

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT), Mga backdoor

Isalin To:

Natukoy ng mga analyst sa cybersecurity ang isang bagong kampanya ng banta na tumatarget sa mga organisasyong Ukrainiano, na may mga indikasyon na nagmumungkahi ng paglahok mula sa mga aktor na may kaugnayan sa Russia. Ang aktibidad, na unang naobserbahan noong Pebrero 2026, ay nagpapakita ng mga teknikal na pagsasanib sa isang nakaraang operasyon na iniuugnay sa grupong kilala bilang Laundry Bear (sinusubaybayan din bilang UAC-0190 o Void Blizzard). Ang naunang kampanyang iyon ay tumatarget sa mga puwersang pandepensa ng Ukrainiano at nag-deploy ng isang pamilya ng malware na tinatawag na PLUGGYAPE.

Ang pinakabagong operasyon ay nagpapakilala ng isang JavaScript-based backdoor na isinasagawa sa pamamagitan ng Microsoft Edge browser. Ang malware, na tinutukoy ng mga mananaliksik bilang DRILLAPP, ay idinisenyo upang samantalahin ang mga kakayahan ng browser upang mag-upload at mag-download ng mga file, ma-access ang mikropono, at kumuha ng mga imahe mula sa webcam ng biktima.

Umaasa ang mga umaatake sa mga taktika ng social engineering upang maipamahagi ang mga malisyosong bahagi. Ginagamit ang mga pang-akit na tumutukoy sa mga legal na usapin o mga kawanggawa upang hikayatin ang mga biktima na magbukas ng mga malisyosong file at simulan ang kadena ng impeksyon.

Talaan ng mga Nilalaman

Mga Mapanlinlang na Pang-akit at Paunang Paraan ng Impeksyon

Ang kampanya ay naobserbahan sa dalawang magkaibang variant. Ang unang bersyon, na natukoy noong unang bahagi ng Pebrero 2026, ay gumagamit ng Windows shortcut (LNK) file bilang unang mekanismo ng paghahatid. Kapag naisakatuparan, ang shortcut ay lumilikha ng isang HTML Application (HTA) file sa loob ng pansamantalang direktoryo ng system. Pagkatapos ay kinukuha ng HTA file na ito ang isang remote script na naka-host sa lehitimong serbisyo sa pagbabahagi ng paste na Pastefy.

Para mapanatili ang katatagan sa mga nakompromisong sistema, kinokopya ng mga umaatake ang malisyosong LNK file sa Windows Startup folder, tinitiyak na awtomatiko itong gagana pagkatapos ng bawat pag-reboot ng system. Kapag nagsimula na ang kadena ng impeksyon, ang mga biktima ay binibigyan ng mga URL na naglalaman ng mga decoy theme, kabilang ang mga tagubilin na may kaugnayan sa pag-install ng Starlink o mga sanggunian sa Ukrainian charity na Come Back Alive Foundation.

Ang HTA file ay tuluyang ilulunsad sa pamamagitan ng Microsoft Edge browser na tumatakbo sa headless mode, na nagpapahintulot sa browser na isagawa ang obfuscated script na nakuha mula sa Pastefy nang hindi nagpapakita ng isang karaniwang browser window.

Paggamit ng mga Parameter ng Browser para sa Stealth Access

Para mapakinabangan ang mga kakayahan nito, inilulunsad ng malisyosong proseso ang Edge browser na may maraming parameter na nagpapahina sa mga built-in na proteksyon sa seguridad at nagbibigay-daan sa hindi awtorisadong pag-access sa mga sensitibong mapagkukunan ng system.

Ang mga parameter na ito ay nagbibigay-daan sa browser instance na malampasan ang mga karaniwang pananggalang at magsagawa ng mga aksyon na karaniwang nililimitahan ng mga modelo ng seguridad ng browser. Ang configuration ay epektibong nagbibigay-daan sa malware na ma-access ang mga lokal na file, kumuha ng mga audio at video stream, at mag-record ng aktibidad sa screen nang hindi nangangailangan ng anumang pakikipag-ugnayan mula sa biktima.

Ang mga pangunahing parameter ng browser na ginamit sa pag-atake ay kinabibilangan ng:

--walang-sandbox

--disable-web-security

--payagan-ang-pag-access-ng-file-mula-sa-mga-file

--gamitin-ang-pekeng-ui-para-sa-media-stream

--auto-select-screen-capture-source=true

--i-disable-ang-seguridad-ng-media-ng-user

Sa pamamagitan ng pag-abuso sa mga setting na ito, ang browser ay nagiging isang gumaganang bahagi ng imprastraktura ng malware sa halip na isang platform lamang ng paghahatid.

Mga Kakayahan sa Backdoor at Surveillance na Nakabatay sa Browser

Ang artifact ng DRILLAPP ay gumagana bilang isang magaan ngunit maraming gamit na backdoor. Kapag aktibo na, binibigyang-daan nito ang mga umaatake na makipag-ugnayan sa nahawaang sistema sa pamamagitan ng mga kakayahan na pinapagana ng browser, na epektibong ginagawang isang remote surveillance tool ang browser.

Ang malware ay may kakayahang magsagawa ng ilang operasyon na nagbibigay-daan sa malawakang pagsubaybay at pagkolekta ng data mula sa mga nakompromisong device.

Kabilang sa mga pangunahing kakayahan ang:

Pag-upload at pag-download ng mga file mula sa lokal na sistema
Pagkuha ng audio gamit ang mikropono ng device
Pagre-record ng video gamit ang webcam
Pagkuha ng mga screenshot ng display ng system
Pagbuo ng natatanging fingerprint ng device gamit ang mga pamamaraan ng canvas fingerprinting

Sa unang pagpapatupad nito, bubuo ang malware ng fingerprint ng device at ginagamit ang Pastefy bilang 'dead-drop resolver' upang makuha ang isang WebSocket address na ginagamit para sa command-and-control communications. Pinapayagan ng arkitekturang ito ang mga attacker na dynamic na i-redirect ang mga nahawaang system sa kanilang operational infrastructure.

Ipinapadala rin ng backdoor ang fingerprint ng device kasama ng hinuha na lokasyong heograpiko ng biktima. Tinutukoy ang lokasyon mula sa time zone ng system at sinusuri laban sa isang paunang natukoy na listahan na kinabibilangan ng United Kingdom, Russia, Germany, France, China, Japan, United States, Brazil, India, Ukraine, Canada, Australia, Italy, Spain, at Poland. Kung ang time zone ay hindi tumutugma sa alinman sa mga rehiyong ito, ang malware ay gagawa ng default na pagtukoy sa system bilang matatagpuan sa Estados Unidos.

Mga Nagbabagong Teknik sa Ikalawang Baryante ng Kampanya

Lumitaw ang pangalawang bersyon ng kampanya noong huling bahagi ng Pebrero 2026, na nagpakilala ng ilang mga pagbabago habang pinapanatili ang pangkalahatang istruktura ng pag-atake. Sa halip na umasa sa mga shortcut file ng LNK, ang na-update na variant ay gumagamit ng mga module ng Windows Control Panel bilang paunang mekanismo ng paghahatid.

Ang mismong bahagi ng backdoor ay nakatanggap din ng mga functional upgrade. Ang mga pagpapahusay na ito ay nagbibigay-daan sa malware na magsagawa ng mas malalalim na operasyon sa file system at mapabuti ang kakayahan nitong mag-exfiltrate ng data mula sa mga nahawaang kapaligiran.

Kabilang sa mga kapansin-pansing pagpapabuti ang recursive file enumeration, batch file uploads, at ang kakayahang mag-download ng mga arbitraryong file nang direkta sa nakompromisong system.

Paglampas sa mga Restriksyon sa JavaScript gamit ang mga Chromium Debugging Tool

Karaniwang pinipigilan ng mga karaniwang paghihigpit sa seguridad ng JavaScript ang direktang pag-download ng mga file ng remote code papunta sa system ng biktima. Upang maiwasan ang limitasyong ito, ginagamit ng mga attacker ang Chrome DevTools Protocol (CDP), isang internal debugging interface na ginagamit ng mga browser na nakabase sa Chromium.

Maa-access lamang ang CDP kapag inilunsad ang browser nang naka-enable ang parameter na --remote-debugging-port. Sa pamamagitan ng pag-activate ng debugging functionality na ito, magkakaroon ng kakayahang kontrolin ng mga attacker ang pag-uugali ng browser sa pamamagitan ng programa at malampasan ang mga karaniwang paghihigpit sa client-side, na nagbibigay-daan sa mga remote file download na maaaring naharang sana.

Mga Indikasyon ng Maagang Pag-unlad at Imprastraktura ng Eksperimento

Ipinahihiwatig ng ebidensiya na ang malware ay nasa aktibong pag-unlad pa rin. Isang maagang variant na natuklasan sa kalikasan noong Enero 28, 2026, ay nakipag-ugnayan lamang sa domain na 'gnome.com' sa halip na kunin ang pangunahing payload nito mula sa Pastefy.

Ang kilos na ito ay nagpapahiwatig na maaaring pinagbubuti pa rin ng mga aktor ng banta ang kanilang imprastraktura at ang mga kakayahan sa pagpapatakbo ng backdoor.

Pag-abuso sa Browser bilang Isang Umuusbong na Istratehiya sa Pag-iwas

Isa sa mga pinakamahalagang aspeto ng kampanya ay ang sadyang paggamit ng web browser bilang pangunahing kapaligiran sa pagpapatupad para sa backdoor. Itinatampok ng pamamaraang ito ang lumalaking trend kung saan ginagamit muli ng mga umaatake ang lehitimong software upang maiwasan ang pagtuklas.

Ang mga browser ay nagbibigay ng ilang bentahe para sa mga malisyosong operasyon. Malawakang ginagamit ang mga ito at karaniwang itinuturing na hindi mapanganib na mga proseso, na binabawasan ang posibilidad ng agarang paghihinala. Bukod pa rito, ang mga parameter ng pag-debug ng browser ay maaaring magbukas ng mga makapangyarihang kakayahan na nagbibigay-daan sa mga aksyon na pinaghihigpitan, tulad ng mga malayuang pag-download ng file at malawak na pag-access sa system.

Bukod pa rito, pinapanatili ng mga browser ang mga lehitimong pahintulot upang makipag-ugnayan sa mga sensitibong mapagkukunan ng hardware, kabilang ang mga mikropono, camera, at mga mekanismo ng pagkuha ng screen, na nagpapahintulot sa mga umaatake na magsagawa ng mga aktibidad sa pagsubaybay habang hinahalo sa normal na pag-uugali ng system.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon

DRILLAPP Backdoor

Mga Mapanlinlang na Pang-akit at Paunang Paraan ng Impeksyon

Paggamit ng mga Parameter ng Browser para sa Stealth Access

Mga Kakayahan sa Backdoor at Surveillance na Nakabatay sa Browser

Mga Nagbabagong Teknik sa Ikalawang Baryante ng Kampanya

Paglampas sa mga Restriksyon sa JavaScript gamit ang mga Chromium Debugging Tool

Mga Indikasyon ng Maagang Pag-unlad at Imprastraktura ng Eksperimento

Pag-abuso sa Browser bilang Isang Umuusbong na Istratehiya sa Pag-iwas

Magsumite ng Komento

Trending

Tarwils.com

Precludestore.com

Beringlousnet.com

Pinaka Nanood

Eporner.com

XHAMSTER Ransomware

Fuq.com