Wprowadzenie do problemu / definicja
DRILLAPP to nowo zaobserwowany backdoor wykorzystywany w operacjach cyberwywiadowczych wymierzonych w ukraińskie organizacje. Kampania zwraca uwagę nietypową techniką działania, ponieważ zamiast klasycznego loadera lub rozbudowanego trojana atakujący wykorzystują przeglądarkę Microsoft Edge uruchamianą w trybie headless, z parametrami debugowania oraz osłabionymi mechanizmami ochrony.
Taki model pozwala ukryć aktywność w procesie, który w wielu środowiskach firmowych wygląda na legalny. W praktyce legalna aplikacja zostaje przekształcona w narzędzie szpiegowskie zdolne do zbierania danych z systemu i otoczenia ofiary.
W skrócie
- Kampania została zaobserwowana w lutym 2026 roku i była wymierzona w ukraińskie organizacje.
- Aktywność powiązano z rosyjskojęzycznym klastrem przypisywanym z niską pewnością do Laundry Bear, znanego także jako UAC-0190 lub Void Blizzard.
- Łańcuch infekcji rozpoczynał się od plików przynętowych w formacie LNK, a później również CPL.
- Backdoor umożliwia dostęp do systemu plików, rejestrowanie obrazu z kamery, dźwięku z mikrofonu oraz przechwytywanie ekranu.
- Nowszy wariant rozszerzono o funkcje pobierania i wysyłania plików oraz rekursywnego przeszukiwania dysków.
Kontekst / historia
Operacja wpisuje się w szerszy krajobraz cyberataków ukierunkowanych na ukraińskie instytucje, szczególnie w kontekście długotrwałych działań wywiadowczych prowadzonych przez podmioty powiązane z interesami państwowymi. Badacze wskazali podobieństwa do wcześniejszych kampanii przypisywanych Laundry Bear, zwłaszcza w obszarze doboru przynęt oraz sposobu profilowania ofiar.
W analizowanej kampanii wykorzystywano tematy socjotechniczne odnoszące się do instalacji Starlinka, inicjatyw pomocowych, spraw wojskowych oraz dokumentów wyglądających na urzędowe. Taki dobór treści sugeruje precyzyjne rozpoznanie celów i koncentrację na podmiotach o wysokiej wartości wywiadowczej.
Dodatkowo wszystko wskazuje na to, iż DRILLAPP jest narzędziem stosunkowo nowym i przez cały czas rozwijanym. Wcześniejsze próbki wykazywały podobny schemat infekcji, ale nie zawierały jeszcze pełnego mechanizmu pobierania adekwatnego backdoora, co może oznaczać fazę intensywnego rozwoju narzędzia.
Analiza techniczna
Pierwszy znany wariant kampanii wykorzystywał pliki skrótów LNK. Po uruchomieniu tworzyły one pliki HTML w katalogu tymczasowym i ładowały zaciemnione skrypty z publicznych serwisów hostujących treści. Następnie uruchamiano Microsoft Edge w trybie headless z zestawem parametrów ograniczających część zabezpieczeń przeglądarki.
Kluczową rolę odgrywały przełączniki umożliwiające dostęp do lokalnych plików, osłabienie mechanizmów izolacji oraz automatyczne przyznawanie uprawnień do kamery, mikrofonu i funkcji przechwytywania ekranu. Dzięki temu przeglądarka działała jak pośrednik wykonujący zadania typowe dla systemu szpiegującego, ale w ramach zaufanego procesu.
Backdoor generował uproszczony odcisk urządzenia, sprawdzał wybrane strefy czasowe i komunikował się z serwerem dowodzenia oraz kontroli przez WebSocket. Taki kanał umożliwiał zdalne wydawanie poleceń, odbieranie wyników działań oraz rozszerzanie zakresu operacji na zainfekowanym systemie.
Drugi wariant, wykryty pod koniec lutego 2026 roku, zastąpił pliki LNK modułami CPL, czyli bibliotekami DLL uruchamianymi przez mechanizmy Panelu sterowania. Zmiana nośnika utrudniała wykrywanie oparte na prostych sygnaturach, przy zachowaniu zbliżonej logiki działania. W tej wersji rozszerzono również możliwości dotyczące rekursywnego listowania plików, ich wysyłania partiami oraz pobierania zasobów na system ofiary.
Interesującym elementem kampanii było też wykorzystanie Chrome DevTools Protocol w przeglądarkach opartych na Chromium. Po aktywacji portu zdalnego debugowania atakujący mogli zmieniać ścieżkę pobierania i symulować interakcję użytkownika, obchodząc typowe ograniczenia JavaScript związane z pobieraniem plików.
Konsekwencje / ryzyko
DRILLAPP stanowi poważne zagrożenie, ponieważ nadużywa zaufanego procesu przeglądarki, przez co jego aktywność może nie zostać natychmiast zaklasyfikowana jako złośliwa. Uzyskanie dostępu do mikrofonu, kamery i ekranu oznacza możliwość prowadzenia zaawansowanej inwigilacji oraz pozyskiwania dokumentów, danych operacyjnych, informacji kontekstowych i potencjalnie także danych uwierzytelniających.
Najwyższe ryzyko dotyczy podmiotów rządowych, sektora obronnego i infrastruktury krytycznej. choćby relatywnie lekki backdoor, jeżeli pozostaje niewidoczny, może umożliwiać długotrwały rekonesans, kradzież dokumentów i przygotowanie kolejnych etapów kompromitacji.
Kampania pokazuje także rosnące znaczenie nadużyć legalnych komponentów systemu i aplikacji. Zamiast polegać wyłącznie na tradycyjnym malware, operatorzy coraz częściej wykorzystują wbudowane funkcje, mechanizmy debugowania oraz natywne interfejsy aplikacji do realizacji celów ofensywnych.
Rekomendacje
Organizacje powinny monitorować nietypowe uruchomienia Microsoft Edge i innych przeglądarek opartych na Chromium, zwłaszcza z parametrami wskazującymi na tryb headless, zdalne debugowanie, wyłączenie sandboxa lub osłabienie polityk bezpieczeństwa. Szczególne znaczenie ma analiza pełnej linii poleceń, a nie tylko samej nazwy procesu.
Warto również ograniczać wykonywanie plików LNK i CPL pochodzących z niezaufanych źródeł oraz wzmacniać kontrolę nad uruchamianiem bibliotek DLL w nietypowych kontekstach systemowych. W środowiskach wysokiego ryzyka istotne będzie wdrożenie zasad application control oraz monitoringu tworzenia plików HTML i skryptów w katalogach tymczasowych użytkowników.
Dodatkową warstwę ochrony powinno stanowić wykrywanie połączeń WebSocket inicjowanych przez przeglądarki w nietypowych scenariuszach oraz analiza anomalii związanych z nagłym dostępem do urządzeń audio-wideo i funkcji przechwytywania ekranu. Zespoły SOC powinny korelować uruchomienie przynęt socjotechnicznych z późniejszą aktywnością przeglądarki i zmianami w systemie plików.
Nie można też pomijać czynnika ludzkiego. Szkolenia świadomościowe powinny uwzględniać scenariusze oparte na tematach wojennych, humanitarnych, urzędowych i logistycznych, ponieważ właśnie takie przynęty okazują się szczególnie skuteczne w kampaniach ukierunkowanych.
Podsumowanie
DRILLAPP pokazuje, iż współczesne operacje APT coraz częściej łączą prostotę implementacji z kreatywnym nadużyciem legalnych mechanizmów systemowych. W tym przypadku przeglądarka internetowa została zamieniona w narzędzie szpiegowskie zdolne do przejmowania plików oraz monitorowania otoczenia ofiary dzięki kamery, mikrofonu i funkcji przechwytywania ekranu.
Choć narzędzie wydaje się przez cały czas rozwijane, już teraz reprezentuje wysoki poziom ryzyka dla administracji publicznej, sektora obronnego i innych organizacji strategicznych. Dla obrońców to wyraźny sygnał, iż skuteczna detekcja musi obejmować nie tylko klasyczne próbki malware, ale także nadużycia legalnych aplikacji i ich funkcji diagnostycznych.
Źródła
- Security Affairs — Russia-linked APT uses DRILLAPP backdoor to spy on Ukrainian targets — https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
- CERT-UA — komunikaty i analizy dotyczące aktywności UAC-0190 — https://cert.gov.ua/
- Microsoft Learn — Chrome DevTools Protocol overview — https://learn.microsoft.com/en-us/microsoft-edge/devtools/protocol/
