Cửa hậu DRILLAPP

Các nhà phân tích an ninh mạng đã xác định một chiến dịch đe dọa mới nhắm vào các tổ chức của Ukraine, với các dấu hiệu cho thấy sự tham gia của các tác nhân có liên hệ với Nga. Hoạt động này, lần đầu tiên được quan sát vào tháng 2 năm 2026, cho thấy sự trùng lặp về kỹ thuật với một chiến dịch trước đó được cho là của nhóm được gọi là Laundry Bear (cũng được theo dõi với tên UAC-0190 hoặc Void Blizzard). Chiến dịch trước đó nhắm vào lực lượng quốc phòng Ukraine và triển khai một họ phần mềm độc hại có tên PLUGGYAPE.

Chiến dịch mới nhất này đưa vào một cửa hậu dựa trên JavaScript được thực thi thông qua trình duyệt Microsoft Edge. Phần mềm độc hại này, được các nhà nghiên cứu gọi là DRILLAPP, được thiết kế để khai thác các khả năng của trình duyệt nhằm tải lên và tải xuống tệp, truy cập micro và chụp ảnh từ webcam của nạn nhân.

Kẻ tấn công dựa vào các thủ đoạn kỹ thuật xã hội để phát tán các thành phần độc hại. Chúng sử dụng các chiêu trò liên quan đến vấn đề pháp lý hoặc các hoạt động từ thiện để khuyến khích nạn nhân mở các tập tin độc hại và khởi đầu chuỗi lây nhiễm.

Mồi nhử lừa đảo và phương pháp lây nhiễm ban đầu

Chiến dịch này đã được quan sát thấy ở hai biến thể khác nhau. Phiên bản đầu tiên, được phát hiện vào đầu tháng 2 năm 2026, sử dụng tệp lối tắt Windows (LNK) làm cơ chế phân phối ban đầu. Khi được thực thi, lối tắt này tạo ra một tệp ứng dụng HTML (HTA) trong thư mục tạm thời của hệ thống. Tệp HTA này sau đó truy xuất một tập lệnh từ xa được lưu trữ trên dịch vụ chia sẻ văn bản hợp pháp Pastefy.

Để duy trì sự hiện diện trên các hệ thống bị xâm nhập, kẻ tấn công sao chép tệp LNK độc hại vào thư mục Khởi động của Windows, đảm bảo nó tự động thực thi sau mỗi lần khởi động lại hệ thống. Khi chuỗi lây nhiễm bắt đầu, nạn nhân sẽ thấy các URL chứa nội dung giả mạo, bao gồm hướng dẫn cài đặt Starlink hoặc đề cập đến tổ chức từ thiện Ukraine Come Back Alive Foundation.

Tệp HTA cuối cùng được khởi chạy thông qua trình duyệt Microsoft Edge hoạt động ở chế độ headless, cho phép trình duyệt thực thi kịch bản đã được mã hóa lấy từ Pastefy mà không hiển thị cửa sổ trình duyệt tiêu chuẩn.

Khai thác các tham số trình duyệt để truy cập lén lút

Để tối đa hóa khả năng của mình, tiến trình độc hại khởi chạy trình duyệt Edge với nhiều tham số làm suy yếu các biện pháp bảo vệ an ninh tích hợp và cho phép truy cập trái phép vào các tài nguyên hệ thống nhạy cảm.

Các tham số này cho phép trình duyệt vượt qua các biện pháp bảo vệ thông thường và thực hiện các hành động thường bị hạn chế bởi các mô hình bảo mật của trình duyệt. Cấu hình này cho phép phần mềm độc hại truy cập các tệp cục bộ, thu thập luồng âm thanh và video, và ghi lại hoạt động màn hình mà không cần bất kỳ sự tương tác nào từ nạn nhân.

Các tham số trình duyệt chính được sử dụng trong cuộc tấn công bao gồm:

--no-sandbox

--vô hiệu hóa bảo mật web

--cho phép truy cập tệp từ các tệp

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--vô hiệu hóa bảo mật phương tiện người dùng

Bằng cách lạm dụng các cài đặt này, trình duyệt trở thành một thành phần chức năng của cơ sở hạ tầng phần mềm độc hại chứ không chỉ đơn thuần là một nền tảng phân phối.

Khả năng giám sát và cửa hậu dựa trên trình duyệt

Phần mềm độc hại DRILLAPP hoạt động như một cửa hậu nhẹ nhưng linh hoạt. Sau khi được kích hoạt, nó cho phép kẻ tấn công tương tác với hệ thống bị nhiễm thông qua các chức năng được hỗ trợ bởi trình duyệt, biến trình duyệt thành một công cụ giám sát từ xa.

Phần mềm độc hại này có khả năng thực hiện nhiều thao tác cho phép giám sát và thu thập dữ liệu quy mô lớn từ các thiết bị bị xâm nhập.

Các năng lực cốt lõi bao gồm:

• Tải lên và tải xuống các tập tin từ hệ thống cục bộ.
• Thu âm thông qua micro của thiết bị.
• Ghi hình video thông qua webcam
• Chụp ảnh màn hình hệ thống
• Tạo dấu vân tay thiết bị độc nhất bằng kỹ thuật nhận dạng dấu vân tay trên vải

Trong lần thực thi đầu tiên, phần mềm độc hại tạo ra dấu vân tay thiết bị và sử dụng Pastefy như một "bộ phân giải điểm kết nối" để lấy địa chỉ WebSocket được sử dụng cho các liên lạc điều khiển và kiểm soát. Kiến trúc này cho phép kẻ tấn công chuyển hướng động các hệ thống bị nhiễm sang cơ sở hạ tầng hoạt động của chúng.

Phần mềm độc hại này cũng truyền tải dấu vân tay thiết bị cùng với vị trí địa lý được suy đoán của nạn nhân. Vị trí được xác định từ múi giờ của hệ thống và được kiểm tra so với một danh sách được xác định trước bao gồm Vương quốc Anh, Nga, Đức, Pháp, Trung Quốc, Nhật Bản, Hoa Kỳ, Brazil, Ấn Độ, Ukraina, Canada, Úc, Ý, Tây Ban Nha và Ba Lan. Nếu múi giờ không khớp với bất kỳ khu vực nào trong số này, phần mềm độc hại sẽ mặc định xác định hệ thống nằm ở Hoa Kỳ.

Các kỹ thuật đang phát triển trong biến thể chiến dịch thứ hai

Phiên bản thứ hai của chiến dịch này xuất hiện vào cuối tháng 2 năm 2026, với một số sửa đổi nhưng vẫn giữ nguyên cấu trúc tấn công tổng thể. Thay vì dựa vào các tệp tắt LNK, phiên bản cập nhật sử dụng các mô-đun Bảng điều khiển Windows làm cơ chế phân phối ban đầu.

Thành phần cửa hậu cũng được nâng cấp chức năng. Những cải tiến này cho phép phần mềm độc hại thực hiện các thao tác hệ thống tệp sâu hơn và cải thiện khả năng đánh cắp dữ liệu từ môi trường bị nhiễm.

Những cải tiến đáng chú ý bao gồm liệt kê tập tin đệ quy, tải lên tập tin hàng loạt và khả năng tải xuống các tập tin tùy ý trực tiếp vào hệ thống bị xâm nhập.

Vượt qua các hạn chế của JavaScript bằng công cụ gỡ lỗi Chromium

Các hạn chế bảo mật tiêu chuẩn của JavaScript thường ngăn chặn mã từ xa tải trực tiếp các tệp xuống hệ thống của nạn nhân. Để vượt qua hạn chế này, kẻ tấn công lợi dụng Giao thức Công cụ dành cho Nhà phát triển Chrome (CDP), một giao diện gỡ lỗi nội bộ được sử dụng bởi các trình duyệt dựa trên Chromium.

CDP chỉ có thể được truy cập khi trình duyệt được khởi chạy với tham số --remote-debugging-port được bật. Bằng cách kích hoạt chức năng gỡ lỗi này, kẻ tấn công có được khả năng điều khiển hành vi của trình duyệt theo chương trình và vượt qua các hạn chế thông thường ở phía máy khách, cho phép tải xuống các tệp từ xa mà lẽ ra sẽ bị chặn.

Các chỉ số phát triển ban đầu và cơ sở hạ tầng thử nghiệm

Bằng chứng cho thấy phần mềm độc hại này vẫn đang được phát triển tích cực. Một biến thể ban đầu được phát hiện trong thực tế vào ngày 28 tháng 1 năm 2026, chỉ giao tiếp với tên miền 'gnome.com' thay vì lấy tải trọng chính từ Pastefy.

Hành vi này cho thấy các tác nhân đe dọa có thể vẫn đang hoàn thiện cả cơ sở hạ tầng và khả năng vận hành của phần mềm độc hại.

Lạm dụng trình duyệt như một chiến lược né tránh mới nổi.

Một trong những khía cạnh quan trọng nhất của chiến dịch này là việc cố ý sử dụng trình duyệt web làm môi trường thực thi chính cho phần mềm độc hại. Cách tiếp cận này làm nổi bật xu hướng ngày càng gia tăng, trong đó tin tặc lợi dụng phần mềm hợp pháp để tránh bị phát hiện.

Trình duyệt web mang lại một số lợi thế cho các hoạt động độc hại. Chúng được sử dụng rộng rãi và thường được coi là các tiến trình vô hại, làm giảm khả năng bị nghi ngờ ngay lập tức. Ngoài ra, các tham số gỡ lỗi của trình duyệt có thể mở khóa các khả năng mạnh mẽ cho phép thực hiện các hành động bị hạn chế, chẳng hạn như tải xuống tệp từ xa và truy cập hệ thống mở rộng.

Hơn nữa, các trình duyệt duy trì các quyền hợp pháp để tương tác với các tài nguyên phần cứng nhạy cảm, bao gồm micro, camera và cơ chế chụp màn hình, cho phép kẻ tấn công thực hiện các hoạt động giám sát trong khi vẫn hòa nhập vào hoạt động bình thường của hệ thống.