Новый бэкдор DRILLAPP атакует украинские структуры, используя браузер Edge как инструмент слежения

Группа разведки LAB52 компании S2 Group обнаружила новую вредоносную кампанию, направленную против украинских юридических и благотворительных организаций. Основным инструментом атаки стал бэкдор на основе JavaScript, который исследователи назвали DRILLAPP. Его ключевая особенность - работа не как отдельного процесса, а внутри Microsoft Edge, что позволяет ему скрытно использовать встроенные в браузер функции для слежки за жертвой.

Злоумышленники применяют социальную инженерию, используя фишинговые приманки на актуальные для целевой аудитории темы. Среди них - документы, имитирующие запросы от украинского благотворительного фонда «Повернись живим», отчеты о конфискации оружия или официальные бумаги от Государственной аудиторской службы Украины. Эти файлы, маскирующиеся под документы, содержат вредоносный код, который запускает цепочку заражения. При этом аналитики отмечают тактическое сходство с другой известной кампанией, что позволяет с осторожностью связать эту активность с группой Laundry Bear.

Кампания была обнаружена в двух основных вариантах, различающихся методом первоначального запуска. Первый вариант, относящийся к началу февраля, использует ярлыки (LNK-файлы), которые создают HTML-файл во временной папке пользователя. Для обеспечения закрепления в системе вредоносный код копирует все LNK-файлы в папку автозагрузки Windows. Второй вариант, выявленный в конце месяца, отказался от ярлыков в пользу CPL-файлов - элементов панели управления Windows, которые по сути являются исполняемыми библиотеками. Однако конечная полезная нагрузка в обоих случаях схожа.

После запуска вредоносного сценария открывается браузер Microsoft Edge, но в особом, так называемом «безголовом» (headless) режиме, который не отображает графический интерфейс пользователя. Более важно, что браузер запускается с рядом опасных параметров командной строки, отключающих ключевые механизмы безопасности. К ним относятся отключение песочницы ("--no-sandbox"), веб-безопасности ("--disable-web-security") и запросов на доступ к медиаустройствам ("--use-fake-ui-for-media-stream"). Эти настройки предоставляют сценарию беспрепятственный доступ к локальной файловой системе, микрофону, веб-камере и позволяют захватывать изображение с экрана без ведома и согласия пользователя.

Основной функционал бэкдора DRILLAPP как раз и строится вокруг этих возможностей. Он действует как легковесный шлюз, позволяющий оператору загружать и скачивать файлы с пораженного компьютера, записывать аудио через микрофон и видео с камеры, а также делать скриншоты экрана - и всё это через легитимный процесс браузера. При первом запуске вредонос создает цифровой отпечаток устройства, используя технику Canvas Fingerprinting и данные о разрешении экрана и языке системы, чтобы уникально идентифицировать жертву.

Для связи с командным сервером злоумышленников (C2) бэкдор использует технологию WebSocket. Адрес сервера динамически подгружается из скрипта, размещенного на публичном сервисе для обмена текстом pastefy.app, что позволяет оперативно менять инфраструктуру. Второй вариант бэкдора получил расширенные возможности по работе с файлами, включая рекурсивное чтение каталогов и пакетную загрузку. Для скачивания файлов из интернета, что обычно запрещено политиками безопасности JavaScript, злоумышленники прибегают к эксплуатации Chrome DevTools Protocol (CDP) - внутреннего протокола отладки браузеров на движке Chromium.

Обнаруженный образец, датированный 28 января демонстрирует схожую цепочку заражения, но без финальной вредоносной нагрузки. Это может указывать на этап ранней разработки или тестирования инструмента. Анализ DRILLAPP указывает на то, что артефакт находится на ранней стадии развития. Однако сам подход - превращение браузера в инструмент для удаленного администрирования - вызывает серьезную озабоченность у экспертов по безопасности. Браузеры являются доверенными, постоянно работающими приложениями, их сетевая активность редко вызывает подозрения, а их широкие возможности по доступу к аппаратным ресурсам открывают большой простор для злоупотреблений.

IPv4

• 188.137.228.162
• 80.89.224.13

URLs

• https://iili.io/fphPR3b.jpg
• https://iili.io/q995IQ2.jpg
• https://iili.io/q995YYu.jpg
• https://iili.io/q995zhl.jpg
• https://iili.io/qKOFGe4.jpg
• https://pastefy.app/f69UjsFE/raw
• https://pastefy.app/nkjTcFw3/raw
• https://short-link.net/HdviE
• https://short-link.net/KCVTt
• https://short-link.net/ZVMEq

SHA256

• 107b2badfc93fcdd3ffda7d3999477ced3f39f43f458dd0f6a424c9ab52681c3
• 21fefc3913d3d2dfde7f0dff54800ca7512eb5df9513b1a457a2af25fdd51b26
• 2b5d8f8db5fd38ae1c34807dcba35b057cffa61eb14ba3b558f82eb630480c3f
• 32973ef02e10a585a4a0196b013265e29fc57d8e1c50752f7b39e43b9f388715
• 352f34ea5cc40e2b3ec056ae60fa19a368dbd42503ef225cb1ca57956eb05e81
• 51e86408904c0ca3778361cde746783a0f2b9fd2a6782aa7e062aa597151876e
• 5b978cdc46afa28d83e532cd19622d9097bebedf87efc4c87bd35d8ffad9e672
• 6178b1af51057c0bac75a842afff500a8fa3ed957d79a712a6ef089bec7e7a8b
• 66a7828bc8c6c783b2ffa3c906d53f6dae1bbddc019283cc369d7d73247c5181
• 6fea579685d2433cedb1c32ef704575dcbc1d0a623769e824023ffccd0dedaae
• 76eb713e38f145ee68b89f2febd8f9a28bbb2b464da61cb029d84433a0b2c746
• 801c47550799831bfb1ac6c5c3fd698be95da19fc85bd65f5d8639f26244d2a9
• 886df55794cbca146de96dcc626471b3c097a5c20ba488033b24f4347aa20a14
• 8c6ea44ce7f4ed4e4e7e19e11b3b345d58785c93b33aa795ddd1b0d753236b05
• 9367f4b4d2775ff47279d143dd9a0ef544ddff81946aab33da9350a49f14e1e1
• 993d55f60414bf2092f421c3d0ac6af1897a21cc4ea260ae8e610a402bf4c81c
• a545908c931ec47884b5ccfb1f112435f5d0cdac140e664673672c9df9016672
• ac60eefc2607216f8126c0b22b6243f3862ef2bb265c585deee0d00a20a436b3
• b891fa118db5190f07b18be46eb9bc10677f9afab1406a7d52ce587522ab3d28
• bad7c6f6ca25363a02eaceb3ed1e378218dc4a246a63d723cfcc5feee3af5056
• c6905bae088982a2b234451b45db742098f2e2ab4fd6ca62c8f4e801160552aa
• ccb7d999ee4d979e175b8c87e09ccda0cbc93b6140471283e3a1f1f9da33759d
• e20831cecd763d0dc91fb39f3bd61d17002608c5a40a6cf0bd16111f4e50d341
• eb9c1649e01db6a9a94d5d50373e54865d672b14ad6f221c98047c562d3cc0f3
• ee90b01b16099e0bb23d4653607a3a559590fc8d0c43120b8456fb1860d2e630
• fb16933b09a4fcca5beff93da05566e924017fb534a2f45caf57b57a633f43a6