Ein spanisches Drohungsteam hat eine jüngste Kampagne beschrieben, die sich auf ukrainische Organisationen konzentriert hat und durch seinen Modus operandi auf Akteure mit möglichen Links zu zuvor dokumentierten russischen Gruppen verweist. Die Analyse veröffentlicht von LAB52 der S2 Gruppe Es tauft das schädliche Stück als DRILLAPP und stellt die erste Beobachtung im Februar 2026, obwohl frühe Spuren bis Ende Januar zurück.
Die auffälligste dieser Kampagne ist die Verwendung des Browsers als Vektor der Ausführung und der Beharrlichkeit. Anstatt traditionelle Ausführungsvarianten zu verwenden, nutzen Angreifer den scheinbar legitimen Zugriff auf den Edge-Browser - indem er ihn im "kopflosen" Modus mit Parametern startet, die den Schutz deaktivieren - einen vonuscado JavaScript-Code ausführen, der in öffentlich unterstützten Diensten wie Pastef. Durch die Freigabe von Flaggen wie Keine Sandbox, -Disable-Web-Sicherheit oder -verwenden-fake-ui-for-mediastream, der Browser-Prozess erhält Berechtigungen, die normalerweise eingeschränkt werden würden: Dateisystemzugriff, Kamera und Mikrofonerfassung und Bildschirmaufzeichnung ohne Benutzereingriff. Um allgemein zu verstehen, was es bedeutet, einen Browser in diesem Modus auszuführen, können Sie den Eintrag auf Kopflose Browser.
Der erste beobachtete Vektor kombiniert direkte Windows (.LNK) Zugriffe mit temporären HTML (HTA) Anwendungen, die das Remote-Script heruntergeladen und lief. Die Shortcuts wurden in den Windows Start-Ordner kopiert, um einen Neustart zu gewährleisten. In einer späteren Iteration änderten die Bediener die Taktik und zogen auf Module des Control Panels zurück, wobei jedoch die Infektionskette im Wesentlichen gleich bleibt. Die Änderung war nicht nur im Transport: die Hintertür entwickelte sich und begann, robustere Funktionen zu bieten, wie rekursive Dateiaufzählung, Massen-Uploads und willkürliche Datei-Download.
Aus technischer Sicht haben die Angreifer Einschränkungen der JavaScript-Umgebung selbst überwunden, indem sie die Chrome DevTools Protokoll (CDP), ein internes Protokoll von Chromium-basierten Browsern, die, wenn durch den Remote-Reinigungsparameter, Aktionen, die Standard JavaScript nicht von selbst ausführen kann, einschließlich Remote-Datei-Download. Diese CDP-Abhängung ist ein klarer Hinweis darauf, wie die Oberfläche von Browsern genutzt wird, um Sicherheitseinschränkungen zu überspringen, die genau darauf ausgelegt sind, solche Missbrauch zu verhindern.
DRILLAPP arbeitet als leichte Hintertür, die neben der Aufrechterhaltung von Dateien und der Kommunikation mit einem Befehls- und Steuerserver Multimedia-Epionage-Funktionen beinhaltet: Audio-Capture, Kamera-Bilder und Bildschirmerfassung. In seiner ersten Ausführung sammelt es einen "Fußabdruck" des Geräts mit Techniken wie Koks und sendet diese Informationen zusammen mit einer Identifizierung des aus der Zeitzone des Systems abgeleiteten Landes. Der Code enthält eine explizite Liste von Zeitzonen von Interesse - einschließlich der Ukraine, Großbritannien, Russland, USA. Die Vereinigten Staaten und mehrere europäische und asiatische Länder - und wenn sie keine erkennen, nimmt sie standardmäßig die USA an. USA.
Um die eigentliche Adresse des Kontrollservers zu verbergen, verwenden Angreifer verklebte Seiten als "tote Drop-Lösungen", die eine WebSocket URL zurückgeben, die Malware verwendet, um die Kommunikation zu erhalten. LAB52 dokumentiert auch eine frühe Variante, die anstelle von Pastefy mit einer scheinbar generischen Domäne ("gnome [.] com") kommuniziert und Experimente und aktive Entwicklung des Toolkits nahelegt.
Die Verwendung des Browsers als Vektor hat praktische Gründe für einen Angreifer: Browser sind häufige Prozesse in Systemen, ihre Anwesenheit weckt nicht sofort Verdacht und bieten, wenn mit bestimmten Parametern ausgeführt, direkten Zugriff auf empfindliche Ressourcen, die unter normalen Bedingungen Interaktion und explizite Berechtigungen erfordern würde. Das macht den Browser zu einer attraktiven Plattform für Undercover Flucht- und Exfiltrationstechniken.
Was kann eine Organisation tun, um das Risiko solcher Angriffe zu reduzieren? Zunächst ist es angebracht, anormale Muster wie Edge- oder Chrome-Instanzen, die mit entfernten oder sandboxfreien Debugging-Parametern gestartet werden, zu überwachen und Änderungen in Startordnern und die Beladung von Bedienfeldmodulen zu steuern, die keine administrative Begründung haben. Corporate-Navigation-Richtlinien sollten die Ausführung von HTA einschränken und ausgehende Kommunikation blockieren oder inspizieren, um Leim- und dynamische Repository-Dienste, die als tote Tropfen verwendet werden. Die Anwendung strenger Kamera und Mikrofon ermöglichen Steuerungen, zusammen mit EDR-Lösungen, die Browser-Prozesse erkennen, die ungewöhnliche Steckdosen öffnen oder atypisch auf das Dateisystem zugreifen, hilft auch, die Angriffsfläche zu reduzieren.
Für diejenigen, die die technische Erklärung und die IOCs vertiefen wollen, ist der ursprüngliche LAB52-Bericht der direkte Hinweis auf diese Kampagne: DRILLAPP - LAB52 Bericht. Wenn die Kampagne Verlockungen im Zusammenhang mit zivilen Initiativen oder Hilfsorganisationen verwendet, ist es wichtig, Links und Seiten mit offiziellen Quellen zu vergleichen, zum Beispiel die Come Back Alive Foundation ( wohnzimmer.de) oder legitime Dienste wie Starlink nicht in betrügerische Seiten fallen.
Im weiteren Sinne erinnert der Vorfall daran, dass in der täglichen Infrastruktur weit verbreitete Werkzeuge - Browser, Klebedienste oder Debugging-Funktionen - Waffen werden können, wenn sie nicht überwacht und mit Sicherheitskriterien konfiguriert werden. Die Bedrohung ist sowohl technisch als auch sozial: sie kombiniert Social Engineering (thematische Lures) mit Missbrauch legitimer Softwarefähigkeiten und an dieser Kreuzung liegt ihre Wirksamkeit.
Die endgültige Empfehlung für IT-Manager und Nutzer ist es, eine proaktive Haltung beizubehalten: Browser und laufende Richtlinien zu aktualisieren und zu härten, Audit-Prozesse zu starten und Erkennungsfunktionen zu haben, die einen gewöhnlichen Browser-Prozess von einem unterscheiden, der sich als Datenerhebung und Exfiltrationsmittel verhält. Die Veröffentlichung von LAB52 enthält Details zu den Teams, die bestimmte Indikatoren identifizieren und Kontrollen in ihren Umgebungen anpassen müssen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...