DRILLAPP 后门

网络安全分析师发现了一项针对乌克兰组织的新威胁活动，迹象表明与俄罗斯有关联的组织参与其中。该活动最早于2026年2月被发现，其技术与此前由名为“洗衣熊”（Laundry Bear，也被称为UAC-0190或Void Blizzard）的组织发起的行动存在重叠。此前的行动以乌克兰国防部队为目标，并部署了名为PLUGGYAPE的恶意软件家族。

最新攻击行动引入了一个基于 JavaScript 的后门程序，该程序通过 Microsoft Edge 浏览器执行。研究人员称该恶意软件为 DRILLAPP，它旨在利用浏览器功能上传和下载文件、访问麦克风以及从受害者的网络摄像头捕获图像。

攻击者利用社会工程学手段传播恶意组件。他们会使用与法律事务或慈善活动相关的诱饵，引诱受害者打开恶意文件，从而启动感染链。

欺骗性诱饵和初始感染方法

该攻击活动已发现两种不同的变种。第一种变种于 2026 年 2 月初被发现，它使用 Windows 快捷方式 (LNK) 文件作为初始传播途径。执行后，该快捷方式会在系统临时目录中创建一个 HTML 应用程序 (HTA) 文件。然后，该 HTA 文件会从合法的粘贴分享服务 Pastefy 获取托管的远程脚本。

为了在受感染的系统中保持持久性，攻击者会将恶意 LNK 文件复制到 Windows 启动文件夹，确保其在每次系统重启后自动执行。一旦感染链开始，受害者就会收到包含诱饵主题的 URL，例如安装 Starlink 的说明或指向乌克兰慈善机构 Come Back Alive Foundation 的信息。

HTA 文件最终通过以无头模式运行的 Microsoft Edge 浏览器启动，允许浏览器执行从 Pastefy 获取的混淆脚本，而无需显示标准浏览器窗口。

利用浏览器参数进行隐蔽访问

为了最大限度地发挥其作用，恶意进程会启动 Edge 浏览器，并设置多个参数来削弱内置的安全保护，从而实现对敏感系统资源的未经授权的访问。

这些参数允许浏览器实例绕过典型的安全措施，执行通常受浏览器安全模型限制的操作。这种配置实际上使恶意软件能够在无需受害者任何交互的情况下访问本地文件、捕获音频和视频流以及记录屏幕活动。

攻击中使用的关键浏览器参数包括：

--no-sandbox

--禁用Web安全

--允许从文件访问文件

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--禁用用户媒体安全

通过滥用这些设置，浏览器就变成了恶意软件基础设施的一个功能性组成部分，而不仅仅是一个传播平台。

基于浏览器的后门和监控功能

DRILLAPP 是一种轻量级但功能强大的后门程序。一旦激活，它就能让攻击者通过浏览器功能与受感染系统进行交互，从而有效地将浏览器变成远程监控工具。

该恶意软件能够执行多种操作，从而可以对受感染的设备进行广泛的监控和数据收集。

核心能力包括：

• 从本地系统上传和下载文件
• 通过设备麦克风录制音频
• 通过网络摄像头录制视频
• 截取系统显示屏幕截图
• 利用画布指纹识别技术生成唯一的设备指纹

该恶意软件首次运行时会生成设备指纹，并使用 Pastefy 作为“死信箱解析器”来检索用于命令与控制通信的 WebSocket 地址。这种架构允许攻击者动态地将受感染的系统重定向到其操作基础设施。

该后门程序还会传输设备指纹以及推断出的受害者地理位置。位置信息根据系统时区确定，并与预定义的列表进行比对，该列表包含英国、俄罗斯、德国、法国、中国、日本、美国、巴西、印度、乌克兰、加拿大、澳大利亚、意大利、西班牙和波兰。如果时区与上述任何地区都不匹配，恶意软件默认将系统识别为位于美国。

第二战役变体中的技术演变

该攻击活动的第二个版本于2026年2月下旬出现，在保持整体攻击结构不变的情况下，引入了一些修改。更新后的变种不再依赖LNK快捷方式文件，而是使用Windows控制面板模块作为初始传播机制。

后门组件本身也进行了功能升级。这些增强功能使恶意软件能够执行更深层次的文件系统操作，并提高其从受感染环境中窃取数据的能力。

显著改进包括递归文件枚举、批量文件上传以及将任意文件直接下载到受感染系统上的功能。

使用 Chromium 调试工具绕过 JavaScript 限制

标准的 JavaScript 安全限制通常会阻止远程代码直接将文件下载到受害者的系统上。为了绕过这一限制，攻击者利用了 Chrome DevTools 协议 (CDP)，这是基于 Chromium 内核的浏览器使用的一种内部调试接口。

只有在启用 `--remote-debugging-port` 参数启动浏览器时，才能访问 CDP。通过激活此调试功能，攻击者能够以编程方式控制浏览器行为，绕过典型的客户端限制，从而实现原本会被阻止的远程文件下载。

早期发展指标和实验基础设施

有证据表明，该恶意软件仍在积极开发中。2026年1月28日在野外发现的一个早期变种，只与域名“gnome.com”通信，而不是从Pastefy获取其主要有效载荷。

这种行为表明，威胁行为者可能仍在完善其基础设施和后门的运行能力。

浏览器滥用作为一种新兴的规避策略

此次攻击活动最显著的特点之一是蓄意利用网页浏览器作为后门程序的主要执行环境。这种做法凸显了一种日益增长的趋势，即攻击者会重新利用合法软件来逃避检测。

浏览器为恶意操作提供了诸多便利。它们应用广泛，通常被认为是良性程序，因此不易引起怀疑。此外，浏览器调试参数可以解锁强大的功能，从而执行原本受限的操作，例如远程文件下载和广泛的系统访问权限。

此外，浏览器拥有与敏感硬件资源（包括麦克风、摄像头和屏幕截图机制）交互的合法权限，这使得攻击者能够在融入正常系统行为的同时执行监视活动。