乌克兰又成了俄罗斯背景黑客的新靶子。这次S2 Grupo的LAB52团队在2026年2月挖出的DRILLAPP后门,明显跟之前的Laundry Bear(也就是UAC-0190或Void Blizzard)有重叠痕迹。Laundry Bear去年就用PLUGGYAPE恶意软件攻击过乌克兰国防力量,这次换了新玩法,直接把JavaScript后门塞进Microsoft Edge浏览器里跑。攻击者用司法文件和慈善机构做诱饵,比如伪装成安装Starlink的链接,或者乌克兰知名慈善组织“Come Back Alive Foundation”的捐款页面,一点就中招。整个链条从Windows快捷方式LNK文件开始,在临时文件夹生成HTA,再远程拉取Pastefy上的脚本,最后用Edge无头模式执行。当前BTC报$73,421(24h涨2.17%),加密市场一片红,攻击者却专挑地缘敏感区下手,时机选得贼准。
最阴的是,他们充分利用了Edge的调试参数来突破浏览器沙箱。启动时带上一串参数:–no-sandbox、–disable-web-security、–allow-file-access-from-files、–use-fake-ui-for-media-stream、–auto-select-screen-capture-source=true、–disable-user-media-security。这些开关直接让浏览器能读本地文件、开摄像头、用麦克风、录屏,全程不需要用户点任何允许。第一次运行还会用canvas fingerprinting打设备指纹,连时区都读出来判断受害者在哪国。时区匹配英国、俄罗斯、德国、法国、中国、日本、美国、巴西、印度、乌克兰、加拿大、澳大利亚、意大利、西班牙、波兰就上报真实国家,不然默认美国。C2通信靠WebSocket,走Pastefy当死信箱中转。文件上传下载、麦克风录音、摄像头拍照、屏幕截图,全靠浏览器原生能力完成。攻击者把恶意行为藏在日常进程里,杀软很难一眼看出异常。短句来了:够狠。
到了2月底,第二版升级明显。LNK文件被换成控制面板模块,感染路径基本不变,后门功能却加码。支持递归枚举文件、批量上传、任意下载。JavaScript本身不允许远程下载文件,攻击者直接启用Chrome DevTools Protocol(CDP),通过–remote-debugging-port参数实现。这套手法说明DRILLAPP还在早期开发阶段。早在1月28日野外就抓到过原始变种,那时只连gnome[.]com域名,还没接上Pastefy拉主载荷。LAB52直言,用浏览器做后门是新趋势。浏览器进程人人都有,调试参数解锁了大量不安全能力,又能合法访问麦克风、摄像头、屏幕,触发警报的概率低到离谱。加密圈里天天聊链上溯源、钱包安全,可现实里国家级APT早就开始玩浏览器级持久化。乌克兰实体接连中招,背后逻辑简单粗暴:情报优先,手段迭代。攻击者不care市场涨跌,他们只care受害者时区落在乌克兰那一栏。