DRILLAPP 後門

網路安全分析師發現了一項針對烏克蘭組織的新威脅活動，跡象顯示與俄羅斯有關聯的組織參與其中。該活動最早於2026年2月被發現，其技術與先前由名為「洗衣熊」（Laundry Bear，也被稱為UAC-0190或Void Blizzard）的組織發起的行動存在重疊。先前的行動以烏克蘭國防部為目標，並部署了名為PLUGGYAPE的惡意軟體家族。

最新攻擊行動引入了一個基於 JavaScript 的後門程序，該程序透過 Microsoft Edge 瀏覽器執行。研究人員稱該惡意軟體為 DRILLAPP，它旨在利用瀏覽器功能上傳和下載檔案、存取麥克風以及從受害者的網路攝影機擷取影像。

攻擊者利用社會工程學手段傳播惡意元件。他們會使用與法律事務或慈善活動相關的誘餌，引誘受害者開啟惡意文件，從而啟動感染鏈。

欺騙性誘餌和初始感染方法

該攻擊活動已發現兩種不同的變種。第一種變種於 2026 年 2 月初被發現，它使用 Windows 快捷方式 (LNK) 檔案作為初始傳播途徑。執行後，該捷徑會在系統暫存目錄中建立一個 HTML 應用程式 (HTA) 檔案。然後，該 HTA 檔案會從合法的貼上分享服務 Pastefy 取得託管的遠端腳本。

為了在受感染的系統中保持持久性，攻擊者會將惡意 LNK 檔案複製到 Windows 啟動資料夾，確保其在每次系統重新啟動後自動執行。一旦感染鏈開始，受害者就會收到包含誘餌主題的 URL，例如安裝 Starlink 的說明或指向烏克蘭慈善機構 Come Back Alive Foundation 的訊息。

HTA 檔案最終透過以無頭模式執行的 Microsoft Edge 瀏覽器啟動，讓瀏覽器執行從 Pastefy 取得的混淆腳本，而無需顯示標準瀏覽器視窗。

利用瀏覽器參數進行隱蔽訪問

為了最大限度地發揮其作用，惡意進程會啟動 Edge 瀏覽器，並設定多個參數來削弱內建的安全保護，從而實現對敏感系統資源的未經授權的存取。

這些參數允許瀏覽器執行個體繞過典型的安全措施，執行通常受瀏覽器安全模型限制的操作。這種配置實際上使惡意軟體能夠在無需受害者任何互動的情況下存取本地文件、捕獲音訊和視訊串流以及記錄螢幕活動。

攻擊中使用的關鍵瀏覽器參數包括：

--no-sandbox

--停用Web安全

--允許從文件存取文件

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--停用使用者媒體安全

透過濫用這些設置，瀏覽器就變成了惡意軟體基礎設施的一個功能性組成部分，而不僅僅是一個傳播平台。

基於瀏覽器的後門和監控功能

DRILLAPP 是一種輕量級但功能強大的後門程式。一旦激活，它就能讓攻擊者透過瀏覽器功能與受感染系統進行交互，從而有效地將瀏覽器變成遠端監控工具。

該惡意軟體能夠執行多種操作，從而可以對受感染的設備進行廣泛的監控和資料收集。

核心能力包括：

• 從本機系統上傳和下載文件
• 透過裝置麥克風錄製音訊
• 透過網路攝影機錄製視頻
• 截取系統顯示螢幕截圖
• 利用畫布指紋辨識技術產生唯一的設備指紋

此惡意軟體首次運作時會產生裝置指紋，並使用 Pastefy 作為「死信箱解析器」來擷取用於命令與控制通訊的 WebSocket 位址。這種架構允許攻擊者動態地將受感染的系統重新導向到其營運基礎架構。

此後門程式還會傳送裝置指紋以及推斷出的受害者地理位置。位置資訊根據系統時區確定，並與預先定義的清單進行比對，該清單包含英國、俄羅斯、德國、法國、中國、日本、美國、巴西、印度、烏克蘭、加拿大、澳洲、義大利、西班牙和波蘭。如果時區與上述任何地區都不匹配，則惡意軟體預設將系統識別為位於美國。

第二戰役變體中的技術演變

該攻擊活動的第二個版本於2026年2月下旬出現，在保持整體攻擊結構不變的情況下，引入了一些修改。更新後的變種不再依賴LNK捷徑文件，而是使用Windows控制面板模組作為初始傳播機制。

後門組件本身也進行了功能升級。這些增強功能使惡意軟體能夠執行更深層的檔案系統操作，並提高其從受感染環境中竊取資料的能力。

顯著改進包括遞歸文件枚舉、批量文件上傳以及將任意文件直接下載到受感染系統上的功能。

使用 Chromium 調試工具繞過 JavaScript 限制

標準的 JavaScript 安全限制通常會阻止遠端程式碼直接將檔案下載到受害者的系統上。為了繞過這項限制，攻擊者利用了 Chrome DevTools 協定 (CDP)，這是基於 Chromium 核心的瀏覽器所使用的內部偵錯介面。

只有在啟用 `--remote-debugging-port` 參數啟動瀏覽器時，才能存取 CDP。透過啟動此偵錯功能，攻擊者能夠以程式方式控制瀏覽器行為，繞過典型的客戶端限制，從而實現原本會被阻止的遠端檔案下載。

早期發展指標與實驗基礎設施

有證據表明，該惡意軟體仍在積極開發中。 2026年1月28日在野外發現的早期變種，只與網域名稱「gnome.com」通信，而不是從Pastefy取得其主要有效載荷。

這種行為表明，威脅行為者可能仍在完善其基礎設施和後門的運作能力。

瀏覽器濫用作為新興的規避策略

這次攻擊活動最顯著的特點之一是蓄意利用網頁瀏覽器作為後門程式的主要執行環境。這種做法凸顯了一種日益增長的趨勢，即攻擊者會重新利用合法軟體來逃避偵測。

瀏覽器為惡意操作提供了許多便利。它們應用廣泛，通常被認為是良性程序，因此不易引起懷疑。此外，瀏覽器偵錯參數可以解鎖強大的功能，從而執行原本受限的操作，例如遠端檔案下載和廣泛的系統存取權限。

此外，瀏覽器擁有與敏感硬體資源（包括麥克風、攝影機和螢幕截圖機制）互動的合法權限，這使得攻擊者能夠在融入正常系統行為的同時執行監視活動。