Українські установи опинилися під прицілом нової кіберкампанії. Як повідомляють фахівці іспанської компанії з безпеки S2 Grupo LAB52, за атаками, імовірно, стоять російські хакери.
Українські установи опинилися під прицілом нової кіберкампанії. Як повідомляють фахівці іспанської компанії з безпеки S2 Grupo LAB52, за атаками, імовірно, стоять російські хакери.
Кампанія, зафіксована в лютому 2026 року, має спільні риси з попередньою операцією угруповання Laundry Bear (також відомого як UAC-0190 або Void Blizzard), спрямованою проти Сил оборони України з використанням сімейства шкідливого ПЗ під назвою PLUGGYAPE, пише The Hacker News.
Ця атака «використовує різноманітні приманки на судові та благодійні теми для розгортання бекдора на основі JavaScript, який працює через браузер Edge». Шкідливе програмне забезпечення, що отримало назву DRILLAPP, здатне завантажувати й вивантажувати файли, а також використовувати мікрофон і робити знімки через вебкамеру, експлуатуючи функції веббраузера.
Було ідентифіковано дві різні версії цієї кампанії. Першу ітерацію, виявлену на початку лютого, реалізовано за допомогою Windows-ярлика (LNK-файлу), який створює HTML-застосунок (HTA) в тимчасовій папці. Цей застосунок, своєю чергою, завантажує віддалений скрипт, розміщений на Pastefy — легітимному сервісі для публікації тексту.
Для забезпечення стійкості LNK-файли копіюються в папку автозавантаження Windows, щоб вони автоматично запускалися після перезавантаження системи. Потім ланцюжок атак відображає URL-адресу, що містить приманки, пов’язані з встановленням Starlink або благодійного фонду «Повернись живим».
HTML-файл зрештою виконується через браузер Microsoft Edge в режимі headless, який потім завантажує віддалений обфускований скрипт, розміщений на Pastefy.
Браузер виконується з додатковими параметрами, такими як –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true та –disable-user-media-security, що надає йому доступ до локальної файлової системи, а також до камери, мікрофона та знімків екрана без необхідності будь-якої взаємодії з користувачем.
Цей шкідливий файл фактично діє як полегшений бекдор, що забезпечує доступ до файлової системи, а також дає змогу записувати аудіо з мікрофона, відео з камери та робити знімки екрана пристрою — і все це через браузер. Під час першого запуску він також створює «цифровий відбиток» пристрою за допомогою техніки, що називається canvas fingerprinting, і використовує Pastefy як систему для отримання адреси, щоб завантажити WebSocket-URL для зв’язку із сервером керування.
Шкідливе ПЗ передає дані відбитка пристрою разом із країною жертви, яка визначається за часовим поясом машини. Він спеціально перевіряє, чи відповідають часові пояси Великій Британії, росії, Німеччині, Франції, Китаю, Японії, США, Бразилії, Індії, Україні, Канаді, Австралії, Італії, Іспанії та Польщі. Якщо це не так, то за замовчуванням використовується час у США.
Другу версію кампанії, помічену наприкінці лютого 2026 року, реалізували вже без використання LNK-файлів — замість них зловмисники застосували модулі Панелі керування Windows, проте загальна послідовність інфікування залишилася майже незмінною. Ще однією помітною зміною стало оновлення самого бекдора: тепер він дає змогу виконувати рекурсивне перерахування файлів, пакетне завантаження файлів на сервер і довільне завантаження файлів на пристрій.
«З міркувань безпеки JavaScript не дозволяє віддалене завантаження файлів», — зазначили у LAB52. «Ось чому зловмисники використовують протокол Chrome DevTools Protocol (CDP), внутрішній протокол браузерів на базі Chromium, який можна використовувати лише тоді, коли ввімкнено параметр — remote-debugging-port».
Вважається, що цей бекдор усе ще перебуває на початкових етапах розробки. Ранній варіант шкідливого ПЗ, виявлений у відкритому доступі 28 січня 2026 року, лише здійснював обмін даними з доменом «gnome[.]com», замість того щоб завантажувати основний корисний навантажувач із Pastefy.
«Одним з найбільш помітних аспектів є використання браузера для розгортання бекдора, що свідчить про те, що зловмисники досліджують нові способи уникнення виявлення», — додали іспанські кіберфахівці.
«Браузер є вигідним інструментом для такого виду діяльності, оскільки він є звичайним і зазвичай не викликає підозр процесом. Він пропонує розширені можливості, доступні через параметри налагодження, які дозволяють виконувати небезпечні дії, як-от завантаження віддалених файлів. Крім того, він надає легітимний доступ до конфіденційних ресурсів, таких як мікрофон, камера або запис екрана, не викликаючи миттєвих системних попереджень».
