Бекдор DRILLAPP
Аналітики з кібербезпеки виявили нову кампанію із загрозами, спрямовану на українські організації, з ознаками, що вказують на причетність до неї суб'єктів, пов'язаних з Росією. Активність, вперше виявлена в лютому 2026 року, демонструє технічні перекриття з попередньою операцією, яку приписують групі, відомій як Laundry Bear (також відстежувану як UAC-0190 або Void Blizzard). Ця попередня кампанія була спрямована на українські сили оборони та розгорнула сімейство шкідливих програм під назвою PLUGGYAPE.
В останній операції використовується бекдор на основі JavaScript, який запускається через браузер Microsoft Edge. Шкідливе програмне забезпечення, яке дослідники називають DRILLAPP, розроблене для використання можливостей браузера для завантаження та вивантаження файлів, доступу до мікрофона та захоплення зображень з веб-камери жертви.
Зловмисники покладаються на тактику соціальної інженерії для поширення шкідливих компонентів. Приманки, що посилаються на юридичні питання або благодійні цілі, використовуються, щоб спонукати жертв відкривати шкідливі файли та ініціювати ланцюг зараження.
Зміст
Оманливі приманки та метод початкового зараження
Кампанія спостерігалася у двох різних варіантах. Перша версія, виявлена на початку лютого 2026 року, використовує файл ярлика Windows (LNK) як початковий механізм доставки. Під час виконання ярлик створює файл HTML-програми (HTA) у тимчасовому каталозі системи. Цей HTA-файл потім отримує віддалений скрипт, розміщений на легітимному сервісі обміну вставками Pastefy.
Щоб забезпечити безперебійну роботу на скомпрометованих системах, зловмисники копіюють шкідливий LNK-файл у папку автозавантаження Windows, забезпечуючи його автоматичне виконання після кожного перезавантаження системи. Після початку ланцюжка зараження жертвам надаються URL-адреси, що містять шаблони-приманки, зокрема інструкції щодо встановлення Starlink або посилання на українську благодійну організацію «Come Back Alive Foundation».
Файл HTA зрештою запускається через браузер Microsoft Edge, що працює в режимі headless, що дозволяє браузеру виконувати обфускований скрипт, отриманий з Pastefy, без відображення стандартного вікна браузера.
Використання параметрів браузера для прихованого доступу
Щоб максимізувати свої можливості, шкідливий процес запускає браузер Edge з кількома параметрами, які послаблюють вбудовані засоби безпеки та дозволяють несанкціонований доступ до конфіденційних системних ресурсів.
Ці параметри дозволяють екземпляру браузера обходити типові засоби безпеки та виконувати дії, які зазвичай обмежуються моделями безпеки браузера. Така конфігурація ефективно дозволяє шкідливому програмному забезпеченню отримувати доступ до локальних файлів, захоплювати аудіо- та відеопотоки, а також записувати активність на екрані без будь-якої взаємодії з боку жертви.
Ключові параметри браузера, що використовуються в атаці, включають:
--без пісочниці
--disable-web-security
--дозволити-доступ-до-файлів-з-файлів
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Зловживаючи цими налаштуваннями, браузер стає функціональним компонентом інфраструктури шкідливого програмного забезпечення, а не просто платформою доставки.
Можливості бекдору та спостереження на основі браузера
Артефакт DRILLAPP функціонує як легкий, але універсальний бекдор. Після активації він дозволяє зловмисникам взаємодіяти із зараженою системою через можливості браузера, фактично перетворюючи браузер на інструмент віддаленого спостереження.
Шкідливе програмне забезпечення здатне виконувати кілька операцій, що дозволяють здійснювати розширений моніторинг та збір даних зі скомпрометованих пристроїв.
Основні можливості включають:
- Завантаження та вивантаження файлів з локальної системи
- Запис аудіо через мікрофон пристрою
- Запис відео через веб-камеру
- Зробити скріншоти дисплея системи
- Генерація унікального відбитка пальця пристрою за допомогою методів зняття відбитків пальців на полотні
Під час першого запуску шкідливе програмне забезпечення генерує відбиток пристрою та використовує Pastefy як «розпізнавач мертвих точок» для отримання адреси WebSocket, яка використовується для зв'язку команд та управління. Така архітектура дозволяє зловмисникам динамічно перенаправляти заражені системи до їхньої операційної інфраструктури.
Бекдор також передає відбиток пристрою разом із визначеним географічним місцезнаходженням жертви. Місцезнаходження визначається за часовим поясом системи та перевіряється за заздалегідь визначеним списком, який включає Велику Британію, Росію, Німеччину, Францію, Китай, Японію, США, Бразилію, Індію, Україну, Канаду, Австралію, Італію, Іспанію та Польщу. Якщо часовий пояс не відповідає жодному з цих регіонів, шкідливе програмне забезпечення за замовчуванням ідентифікує систему як таку, що знаходиться у Сполучених Штатах.
Розвиток технік у другому варіанті кампанії
Друга версія кампанії з'явилася наприкінці лютого 2026 року, впровадивши кілька модифікацій, зберігаючи при цьому загальну структуру атаки. Замість того, щоб покладатися на файли ярликів LNK, оновлений варіант використовує модулі Панелі керування Windows як початковий механізм доставки.
Сам компонент бекдору також отримав функціональні оновлення. Ці покращення дозволяють шкідливому програмному забезпеченню виконувати глибші операції з файловою системою та покращують його здатність вилучати дані із заражених середовищ.
Серед помітних покращень – рекурсивне перерахування файлів, пакетне завантаження файлів та можливість завантажувати довільні файли безпосередньо на уражену систему.
Обхід обмежень JavaScript за допомогою інструментів налагодження Chromium
Стандартні обмеження безпеки JavaScript зазвичай запобігають безпосередньому завантаженню файлів у систему жертви віддаленим кодом. Щоб обійти це обмеження, зловмисники використовують протокол Chrome DevTools Protocol (CDP) – внутрішній інтерфейс налагодження, який використовується браузерами на базі Chromium.
Доступ до CDP можливий лише тоді, коли браузер запущено з увімкненим параметром --remote-debugging-port. Активуючи цю функцію налагодження, зловмисники отримують можливість програмно контролювати поведінку браузера та обходити типові обмеження на стороні клієнта, дозволяючи віддалене завантаження файлів, яке в іншому випадку було б заблоковано.
Індикатори раннього розвитку та експериментальна інфраструктура
Дані свідчать про те, що шкідливе програмне забезпечення все ще перебуває в активній розробці. Ранній варіант, виявлений у вільному доступі 28 січня 2026 року, взаємодіяв виключно з доменом «gnome.com», а не завантажував своє основне корисне навантаження з Pastefy.
Така поведінка вказує на те, що зловмисники можуть все ще вдосконалювати як свою інфраструктуру, так і операційні можливості бекдора.
Зловживання браузером як нова стратегія ухилення
Одним із найважливіших аспектів кампанії є навмисне використання веб-браузера як основного середовища виконання бекдору. Такий підхід підкреслює зростаючу тенденцію, коли зловмисники перепрофілюють легітимне програмне забезпечення, щоб уникнути виявлення.
Браузери надають кілька переваг для шкідливих операцій. Вони широко використовуються та зазвичай вважаються нешкідливими процесами, що зменшує ймовірність негайної підозри. Крім того, параметри налагодження браузера можуть розблокувати потужні можливості, які дозволяють виконувати дії, обмежені в іншому випадку, такі як віддалене завантаження файлів та розширений доступ до системи.
Крім того, браузери зберігають законні дозволи на взаємодію з конфіденційними апаратними ресурсами, включаючи мікрофони, камери та механізми захоплення екрана, що дозволяє зловмисникам виконувати дії спостереження, одночасно зливаючись зі звичайною поведінкою системи.
