新しいサイバー攻撃キャンペーンがウクライナを標的とする

セキュリティ企業S2 GrupoのLAB52脅威インテリジェンスチームは、ウクライナを標的とする新しいサイバー攻撃キャンペーンを発見しました。このキャンペーンは、ロシア関連の脅威アクターによって展開された可能性が高いとされています。

DRILLAPPバックドアの特徴

このキャンペーンは、2026年2月に観測され、前回のLaundry Bear（UAC-0190またはVoid Blizzard）によるウクライナ国防軍を標的としたキャンペーンと類似点があります。DRILLAPPと呼ばれるJavaScriptベースのバックドアは、ファイルのアップロードとダウンロード、マイクの利用、ウェブカメラからの画像キャプチャなど、ウェブブラウザの機能を利用して機能します。

攻撃チェーンの詳細

最初のキャンペーンのバージョンでは、Windowsショートカット（LNK）ファイルを使用してHTMLアプリケーション（HTA）を作成し、Pastefyという正当なペーストサービスにホストされているリモートスクリプトを読み込みます。LNKファイルは、Windowsスタートアップフォルダにコピーされ、システムの再起動後に自動的に実行されます。

Microsoft Edgeのヘッドレスモードの利用

攻撃チェーンは、Starlinkのインストールやウクライナの慈善団体「Come Back Alive Foundation」に関連するURLを表示します。HTMLファイルはMicrosoft Edgeブラウザのヘッドレスモードで実行され、Pastefyにホストされている遠隔で暗号化されたスクリプトを読み込みます。

セキュリティ上の脆弱性の利用

Edgeブラウザは、–no-sandbox、–disable-web-security、–allow-file-access-from-files、–use-fake-ui-for-media-stream、–auto-select-screen-capture-source=true、–disable-user-media-securityなどのパラメータを使用して、ローカルファイルシステムへのアクセスやカメラ、マイク、スクリーンキャプチャへのアクセスを可能にします。これにより、ユーザーの操作なしでバックドアが機能します。

デバイスフィンガープリントとC2通信

バックドアは、デバイスフィンガープリントを生成し、Pastefyをデッドドロップリゾルバとして使用して、WebSocket URLを取得します。このURLは、バックドアとコマンド＆コントロール（C2）サーバー間の通信に使用されます。

攻撃の進化

2026年2月末に観測された第2バージョンでは、LNKファイルではなくWindowsコントロールパネルモジュールを使用しています。また、バックドア自体もアップグレードされ、ファイルの再帰的な列挙、バッチファイルのアップロード、任意のファイルのダウンロードを可能にしています。

結論

この攻撃は、ブラウザを用いてバックドアを展開するという新しい手法を示しています。これは、攻撃者が検出を避ける新しい方法を探求していることを示しています。

---

元記事: https://thehackernews.com/2026/03/drillapp-backdoor-targets-ukraine.html