Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
DRILLAPP to nowo zidentyfikowany backdoor napisany w JavaScript, wykorzystywany w kampanii cyberszpiegowskiej wymierzonej w podmioty związane z Ukrainą. Zagrożenie wyróżnia się tym, że zamiast klasycznego natywnego implantu nadużywa legalnej przeglądarki Microsoft Edge, uruchamianej z parametrami debugowania i osłabionymi zabezpieczeniami.
Taki model działania pozwala atakującym ukryć złośliwą aktywność w zaufanym procesie systemowym. W praktyce przekłada się to na możliwość dostępu do plików lokalnych, przechwytywania ekranu oraz pozyskiwania danych z mikrofonu i kamery przy ograniczonej widoczności dla części mechanizmów obronnych.
W skrócie
- Kampania została zaobserwowana w lutym 2026 roku i jest łączona z aktywnością przypisywaną podmiotom powiązanym z Rosją.
- Atak bazuje na przynętach socjotechnicznych związanych m.in. z pomocą humanitarną, wymiarem sprawiedliwości, Starlinkiem oraz inicjatywami charytatywnymi wspierającymi Ukrainę.
- Początkowo infekcja wykorzystywała pliki LNK i aplikacje HTA, a w nowszej odsłonie operatorzy przeszli do użycia modułów Panelu sterowania Windows.
- Backdoor umożliwia eksfiltrację plików, enumerację danych lokalnych, komunikację C2 przez WebSocket oraz pozyskiwanie audio, obrazu i zrzutów ekranu.
- Kluczowym elementem technicznym jest nadużycie mechanizmów debugowania przeglądarek opartych na Chromium, w tym Chrome DevTools Protocol.
Kontekst / historia
Analiza kampanii wskazuje na podobieństwa do wcześniejszych operacji cyberszpiegowskich prowadzonych przeciwko ukraińskim celom o znaczeniu strategicznym. Badacze wiążą tę aktywność z wcześniejszym użyciem narzędzi takich jak PLUGGYAPE, co może sugerować rozwój już istniejącego arsenału i kontynuację działań wywiadowczych.
Ważnym elementem jest także ewolucja samego malware. Wariant wykryty pod koniec stycznia 2026 roku miał bardziej ograniczone możliwości i prostszy model komunikacji. Z czasem operatorzy rozbudowali mechanizmy sterowania, wdrożyli dead drop resolver oraz komunikację WebSocket, zwiększając elastyczność i odporność infrastruktury na blokowanie.
Nieprzypadkowy jest również dobór tematów wykorzystywanych w phishingu. Motywy związane z pomocą dla Ukrainy, infrastrukturą łączności czy działaniami dobroczynnymi zwiększają wiarygodność wiadomości i załączników, szczególnie w środowiskach funkcjonujących pod presją konfliktu i intensywnej wymiany informacji.
Analiza techniczna
W pierwszej wersji łańcucha infekcji punkt wejścia stanowił plik skrótu LNK. Po uruchomieniu tworzył on aplikację HTA w katalogu tymczasowym i pobierał zdalny, zaciemniony skrypt JavaScript z legalnej usługi internetowej. Dla uzyskania trwałości skrót był następnie kopiowany do folderu autostartu systemu Windows.
Kolejny etap polegał na uruchomieniu ładunku przez Microsoft Edge w trybie headless, czyli bez standardowego interfejsu użytkownika. Przeglądarka była startowana z dodatkowymi parametrami, które osłabiały model bezpieczeństwa i umożliwiały dostęp do lokalnych zasobów oraz automatyczne korzystanie z urządzeń multimedialnych. Z perspektywy atakujących oznaczało to uzyskanie funkcji typowych dla lekkiego implantu szpiegowskiego bez konieczności instalowania rozbudowanego binarnego malware.
DRILLAPP wykonuje także fingerprinting urządzenia przy pierwszym uruchomieniu. Zbiera informacje identyfikujące host oraz określa kraj ofiary na podstawie strefy czasowej systemu. Tego typu dane pomagają operatorom filtrować cele, priorytetyzować działania i ograniczać ekspozycję kampanii poza docelowym obszarem geograficznym.
Istotną rolę odgrywa mechanizm dead drop resolver. Backdoor najpierw pobiera pośredni zasób z legalnej usługi internetowej, a dopiero z niego odczytuje właściwy adres serwera C2 obsługiwanego przez WebSocket. Takie rozdzielenie konfiguracji od infrastruktury sterującej utrudnia analitykom szybkie zmapowanie pełnego łańcucha komunikacji oraz ogranicza skuteczność prostych blokad domenowych.
W drugiej odsłonie kampanii operatorzy zastąpili pliki LNK modułami Panelu sterowania systemu Windows. Jednocześnie rozszerzyli funkcje implantu o rekurencyjną enumerację plików, masowe wysyłanie danych i arbitralne pobieranie plików. Szczególnie istotne jest wykorzystanie Chrome DevTools Protocol, które pozwala obejść ograniczenia standardowego modelu bezpieczeństwa JavaScript i wykonywać bardziej uprzywilejowane operacje za pośrednictwem portu zdalnego debugowania.
Konsekwencje / ryzyko
DRILLAPP stanowi poważne zagrożenie dla instytucji publicznych, organizacji humanitarnych, podmiotów infrastrukturalnych oraz środowisk obronnych działających w Ukrainie lub współpracujących z ukraińskimi partnerami. Zagrożenie nie ogranicza się do kradzieży dokumentów, ponieważ obejmuje również aktywną inwigilację użytkownika i jego środowiska pracy.
Ryzyko jest zwiększone przez wykorzystanie legalnej przeglądarki, która w normalnych warunkach nie wzbudza wysokiego poziomu podejrzeń. Dodatkowo standardowe mechanizmy detekcji, skupione na hashach plików, reputacji procesu lub klasycznych rodzinach malware, mogą nie wykryć nadużycia parametrów uruchomieniowych przeglądarki. Wykorzystanie legalnych usług internetowych jako pośrednika komunikacji dodatkowo utrudnia blokowanie ataku.
W praktyce skutki incydentu mogą obejmować utratę poufnych dokumentów, wyciek danych osobowych, kompromitację komunikacji operacyjnej oraz ujawnienie bieżącej aktywności użytkownika. W środowiskach o znaczeniu strategicznym taki dostęp może posłużyć do dalszego rozpoznania, przygotowania kolejnych etapów ataku lub identyfikacji cennych kontaktów i zasobów.
Rekomendacje
Organizacje powinny monitorować procesy przeglądarek pod kątem nietypowych parametrów uruchomieniowych, zwłaszcza związanych z trybem headless, zdalnym debugowaniem, wyłączeniem sandboxa oraz osłabieniem polityk bezpieczeństwa. Tego typu aktywność, jeśli nie wynika z zatwierdzonych scenariuszy administracyjnych lub developerskich, powinna być traktowana jako sygnał wysokiego ryzyka.
Warto rozszerzyć reguły EDR i SIEM o wykrywanie uruchamiania Edge i innych przeglądarek Chromium z argumentami umożliwiającymi dostęp do lokalnych zasobów oraz automatyczne użycie urządzeń audio-wideo. Równie istotne jest monitorowanie tworzenia plików HTA, zmian w folderach autostartu i podejrzanego użycia komponentów Panelu sterowania.
- Ograniczyć wykonywanie plików LNK i HTA pochodzących z niezaufanych źródeł.
- Wdrożyć polityki Application Control oraz kontrolę użycia LOLBins i interpreterów skryptów.
- Analizować linie poleceń procesów przeglądarek oraz nietypowe połączenia WebSocket.
- Centralnie ograniczyć dostęp przeglądarek do kamery i mikrofonu.
- Wprowadzić allowlisty dozwolonych parametrów uruchomieniowych aplikacji.
- Objąć szczególnym nadzorem usługi internetowe mogące pełnić rolę dead drop resolver.
- Prowadzić szkolenia z rozpoznawania phishingu o tematyce urzędowej, charytatywnej i związanej z pomocą dla Ukrainy.
Podsumowanie
DRILLAPP pokazuje, że nowoczesne kampanie cyberszpiegowskie coraz częściej odchodzą od klasycznych implantów na rzecz nadużywania legalnych aplikacji i funkcji systemowych. Microsoft Edge, uruchomiony w trybie headless i z odpowiednimi przełącznikami debugowania, może stać się pełnoprawną platformą wykonawczą dla lekkiego, trudniejszego do wykrycia backdoora.
Z perspektywy obrony kluczowe staje się monitorowanie zachowań procesów, parametrów startowych oraz anomalii w dostępie do zasobów lokalnych, a nie wyłącznie analiza samych plików. Kampania wymierzona w Ukrainę potwierdza, że przeglądarka internetowa jest dziś nie tylko wektorem ataku, ale również narzędziem ukrytej cyberinwigilacji.
Źródła
- The Hacker News – DRILLAPP Backdoor Targets Ukraine, Abuses Microsoft Edge Debugging for Stealth Espionage — https://thehackernews.com/2026/03/drillapp-backdoor-targets-ukraine.html
- LAB52 – DRILLAPP: New JavaScript Backdoor Targeting Ukraine — https://lab52.io/blog/drillapp-new-javascript-backdoor-targeting-ukraine/
- Chrome DevTools Protocol – Project documentation — https://chromedevtools.github.io/devtools-protocol/
- Microsoft Learn – Microsoft Edge documentation — https://learn.microsoft.com/en-us/deployedge/