DRILLAPP Arka Kapı
Siber güvenlik analistleri, Ukrayna kuruluşlarını hedef alan yeni bir tehdit kampanyası tespit etti ve göstergeler Rusya ile bağlantılı aktörlerin involvement'ını işaret ediyor. İlk olarak Şubat 2026'da gözlemlenen bu faaliyet, Laundry Bear (UAC-0190 veya Void Blizzard olarak da izleniyor) olarak bilinen gruba atfedilen önceki bir operasyonla teknik olarak örtüşüyor. Bu önceki kampanya Ukrayna savunma güçlerini hedef almış ve PLUGGYAPE adlı bir kötü amaçlı yazılım ailesi kullanmıştı.
Son operasyonda, Microsoft Edge tarayıcısı üzerinden çalıştırılan JavaScript tabanlı bir arka kapı yazılımı tanıtıldı. Araştırmacılar tarafından DRILLAPP olarak adlandırılan bu kötü amaçlı yazılım, dosya yükleme ve indirme, mikrofona erişim ve kurbanın web kamerasından görüntü yakalama amacıyla tarayıcı özelliklerinden yararlanmak üzere tasarlanmıştır.
Saldırganlar, kötü amaçlı bileşenleri dağıtmak için sosyal mühendislik taktiklerine başvuruyor. Kurbanları kötü amaçlı dosyaları açmaya ve enfeksiyon zincirini başlatmaya teşvik etmek için yasal konulara veya hayır kurumlarına atıfta bulunan yemler kullanılıyor.
İçindekiler
Aldatıcı Yemler ve İlk Enfeksiyon Yöntemi
Kampanya iki farklı varyantta gözlemlenmiştir. Şubat 2026 başlarında tespit edilen ilk sürüm, ilk dağıtım mekanizması olarak bir Windows kısayolu (LNK) dosyası kullanmaktadır. Çalıştırıldığında, kısayol sistemin geçici dizininde bir HTML Uygulaması (HTA) dosyası oluşturur. Bu HTA dosyası daha sonra yasal içerik paylaşım hizmeti Pastefy'de barındırılan uzak bir komut dosyasını alır.
Saldırganlar, ele geçirdikleri sistemlerde kalıcılığı sağlamak için kötü amaçlı LNK dosyasını Windows Başlangıç klasörüne kopyalayarak, her sistem yeniden başlatıldığında otomatik olarak çalışmasını sağlarlar. Enfeksiyon zinciri başladıktan sonra, kurbanlara Starlink'i yükleme talimatları veya Ukrayna yardım kuruluşu Come Back Alive Foundation'a atıflar gibi yanıltıcı temalar içeren URL'ler sunulur.
HTA dosyası nihayetinde başsız modda çalışan Microsoft Edge tarayıcısı üzerinden başlatılır ve bu sayede tarayıcı, standart bir tarayıcı penceresi görüntülemeden Pastefy'den alınan gizlenmiş komut dosyasını çalıştırabilir.
Tarayıcı Parametrelerinden Gizli Erişim Elde Etme
Kötü amaçlı yazılım, yeteneklerini en üst düzeye çıkarmak için Edge tarayıcısını, yerleşik güvenlik korumalarını zayıflatan ve hassas sistem kaynaklarına yetkisiz erişimi sağlayan birden fazla parametreyle başlatır.
Bu parametreler, tarayıcı örneğinin tipik güvenlik önlemlerini atlamasına ve normalde tarayıcı güvenlik modelleri tarafından kısıtlanan eylemleri gerçekleştirmesine olanak tanır. Bu yapılandırma, kötü amaçlı yazılımın kurbanın herhangi bir etkileşimine gerek kalmadan yerel dosyalara erişmesine, ses ve video akışlarını yakalamasına ve ekran etkinliğini kaydetmesine olanak tanır.
Saldırıda kullanılan başlıca tarayıcı parametreleri şunlardır:
--kum havuzu yok
--web-güvenliğini devre dışı bırak
--dosyalardan dosya erişimine izin ver
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--kullanıcı-medya-güvenliğini-devre-et
Bu ayarların kötüye kullanılmasıyla, tarayıcı yalnızca bir dağıtım platformu olmaktan ziyade, kötü amaçlı yazılım altyapısının işlevsel bir bileşeni haline gelir.
Tarayıcı Tabanlı Arka Kapı ve Gözetim Yetenekleri
DRILLAPP zararlı yazılımı, hafif ancak çok yönlü bir arka kapı görevi görür. Aktif hale geldiğinde, saldırganların tarayıcı üzerinden etkileşim kurarak enfekte olmuş sisteme erişim sağlamasına olanak tanır ve tarayıcıyı uzaktan gözetleme aracına dönüştürür.
Bu kötü amaçlı yazılım, ele geçirilen cihazlardan kapsamlı izleme ve veri toplama olanağı sağlayan çeşitli işlemler gerçekleştirebilmektedir.
Temel yetenekler şunları içerir:
- Yerel sistemden dosya yükleme ve indirme
- Cihazın mikrofonu aracılığıyla ses kaydı yapılıyor.
- Web kamerası aracılığıyla video kaydı yapılıyor.
- Sistem ekranının ekran görüntülerini almak
- Canvas parmak izi alma tekniklerini kullanarak benzersiz bir cihaz parmak izi oluşturma
İlk çalıştırma sırasında, kötü amaçlı yazılım bir cihaz parmak izi oluşturur ve komuta ve kontrol iletişimleri için kullanılan bir WebSocket adresini almak üzere Pastefy'yi bir 'gizli adres çözümleyici' olarak kullanır. Bu mimari, saldırganların enfekte olmuş sistemleri dinamik olarak kendi operasyonel altyapılarına yönlendirmelerine olanak tanır.
Arka kapı, cihazın parmak izini ve kurbanın tahmini coğrafi konumunu da iletiyor. Konum, sistemin saat diliminden belirleniyor ve Birleşik Krallık, Rusya, Almanya, Fransa, Çin, Japonya, Amerika Birleşik Devletleri, Brezilya, Hindistan, Ukrayna, Kanada, Avustralya, İtalya, İspanya ve Polonya'yı içeren önceden tanımlanmış bir listeyle karşılaştırılıyor. Saat dilimi bu bölgelerden herhangi biriyle eşleşmiyorsa, kötü amaçlı yazılım varsayılan olarak sistemi Amerika Birleşik Devletleri'nde konumlanmış olarak tanımlıyor.
İkinci Kampanya Varyantında Gelişen Teknikler
Kampanyanın ikinci bir versiyonu Şubat 2026'nın sonlarında ortaya çıktı ve genel saldırı yapısını korurken çeşitli değişiklikler getirdi. Güncellenmiş versiyon, LNK kısayol dosyalarına güvenmek yerine, ilk dağıtım mekanizması olarak Windows Denetim Masası modüllerini kullanıyor.
Arka kapı bileşeni de işlevsel olarak iyileştirildi. Bu geliştirmeler, kötü amaçlı yazılımın daha derin dosya sistemi işlemleri gerçekleştirmesine ve bulaşmış ortamlardan veri sızdırma yeteneğini artırmasına olanak tanıyor.
Önemli iyileştirmeler arasında özyinelemeli dosya numaralandırma, toplu dosya yükleme ve ele geçirilen sisteme doğrudan rastgele dosya indirme yeteneği yer almaktadır.
Chromium Hata Ayıklama Araçlarıyla JavaScript Kısıtlamalarını Aşma
Standart JavaScript güvenlik kısıtlamaları, uzaktan çalışan kodun doğrudan kurbanın sistemine dosya indirmesini genellikle engeller. Bu sınırlamayı aşmak için saldırganlar, Chromium tabanlı tarayıcılar tarafından kullanılan dahili bir hata ayıklama arayüzü olan Chrome Geliştirici Araçları Protokolü'nden (CDP) yararlanırlar.
CDP'ye yalnızca tarayıcı --remote-debugging-port parametresi etkinleştirilerek başlatıldığında erişilebilir. Bu hata ayıklama işlevini etkinleştirerek, saldırganlar tarayıcı davranışını programatik olarak kontrol etme ve tipik istemci tarafı kısıtlamalarını atlama yeteneği kazanır; bu da normalde engellenecek olan uzaktan dosya indirmelerini mümkün kılar.
Erken Gelişim Göstergeleri ve Deneysel Altyapı
Kanıtlar, kötü amaçlı yazılımın hala aktif olarak geliştirilmekte olduğunu gösteriyor. 28 Ocak 2026'da keşfedilen erken bir varyant, birincil yükünü Pastefy'den almak yerine yalnızca 'gnome.com' alan adıyla iletişim kuruyordu.
Bu davranış, tehdit aktörlerinin hem altyapılarını hem de arka kapının operasyonel yeteneklerini hâlâ geliştirme aşamasında olduklarını gösteriyor.
Yeni Bir Kaçırma Stratejisi Olarak Tarayıcı İstismarı
Kampanyanın en önemli yönlerinden biri, arka kapı yazılımının birincil yürütme ortamı olarak kasıtlı olarak bir web tarayıcısının kullanılmasıdır. Bu yaklaşım, saldırganların tespit edilmekten kaçınmak için meşru yazılımları yeniden kullanma eğiliminin giderek arttığını vurgulamaktadır.
Tarayıcılar, kötü amaçlı işlemler için çeşitli avantajlar sağlar. Yaygın olarak kullanılırlar ve genellikle zararsız süreçler olarak kabul edilirler; bu da anlık şüphe olasılığını azaltır. Ek olarak, tarayıcı hata ayıklama parametreleri, uzaktan dosya indirme ve kapsamlı sistem erişimi gibi aksi halde kısıtlı olan eylemleri mümkün kılan güçlü yeteneklerin kilidini açabilir.
Dahası, tarayıcılar mikrofonlar, kameralar ve ekran yakalama mekanizmaları da dahil olmak üzere hassas donanım kaynaklarıyla etkileşim kurmak için yasal izinlere sahiptir; bu da saldırganların normal sistem davranışına karışarak gözetleme faaliyetleri gerçekleştirmesine olanak tanır.
