DRILLAPP Backdoor: Ukrayna Hedefli Casusluk Kampanyası Microsoft Edge Açıklarını Kullanıyor

SH.TC Editör

17 Mart 2026

3 dk okuma

1 görüntülenme

Rusya bağlantılı tehdit aktörleri, Ukrayna kuruluşlarını hedef alan yeni bir casusluk kampanyası başlattı. S2 Grupo LAB52 tehdit istihbarat ekibinin raporuna göre, DRILLAPP kod adlı yeni backdoor, Microsoft Edge tarayıcısının hata ayıklama özelliklerini kötüye kullanarak gizli istihbarat toplama işlemleri gerçekleştiriyor.

Saldırı Zinciri Nasıl Çalışıyor?

Şubat 2026'da gözlemlenen saldırı kampanyası, daha önce Ukrayna savunma güçlerini hedef alan Laundry Bear (UAC-0190/Void Blizzard) grubunun kullandığı PLUGGYAPE malware ailesi ile örtüşmeler gösteriyor.

Saldırı chain'i şu şekilde işliyor:

• İlk Aşama: Windows kısayol (LNK) dosyası, geçici klasörde bir HTML Application (HTA) oluşturuyor
• Remote Script: HTA, Pastefy üzerinde barındırılan remote script'i yüklüyor
• Kalıcılık: LNK dosyaları Windows Startup klasörüne kopyalanarak sistem yeniden başlatıldığında otomatik çalışması sağlanıyor
• Edge Başlatma: HTML dosyası Microsoft Edge tarayıcısında headless mode'da çalıştırılıyor

Tehlikeli Tarayıcı Parametreleri

Saldırganlar, Edge tarayıcısını şu tehlikeli parametrelerle başlatıyor:

• no-sandbox
• disable-web-security
• allow-file-access-from-files
• use-fake-ui-for-media-stream
• auto-select-screen-capture-source=true
• disable-user-media-security

Bu parametreler, tarayıcıya yerel dosya sistemine erişim, kamera ve mikrofon kullanımı ve ekran görüntüsü alma yetenekleri sağlıyor - tüm bunlar kullanıcı etkileşimi gerektirmeden gerçekleşiyor.

DRILLAPP Backdoor Yetenekleri

DRILLAPP, hafif bir backdoor olarak şu yeteneklere sahip:

• Dosya Sistemi Erişimi: Dosya yükleme ve indirme
• Mikrofon Erişimi: Ses kaydı alma
• Kamera Erişimi: Görüntü yakalama
• Ekran Görüntüsü: Cihaz ekranının görüntüsünü alma
• Device Fingerprinting: Canvas fingerprinting tekniği ile cihaz parmak izi oluşturma

Malware, ilk çalıştırıldığında cihaz fingerprint verisi oluşturuyor ve komuta kontrol (C2) iletişimi için Pastefy'i dead drop resolver olarak kullanarak bir WebSocket URL'si alıyor.

Hedef Kontrol Mekanizması

DRILLAPP, kurbanın ülkesini makinenin saat diliminden tespit ediyor ve şu ülkeleri kontrol ediyor: İngiltere, Rusya, Almanya, Fransa, Çin, Japonya, ABD, Brezilya, Hindistan, Ukrayna, Kanada, Avustralya, İtalya, İspanya, Polonya.

Eğer saat dilimi bu ülkelerle eşleşmezse, varsayılan olarak ABD'yi kullanıyor.

İkinci Versiyon: Daha Gelişmiş Yetenekler

Şubat 2026 sonlarında tespit edilen ikinci kampanya versiyonu şu değişiklikleri içeriyor:

• LNP yerine Windows Control Panel modülleri kullanılıyor
• Recursive file enumeration (özyinelemeli dosya listeleme)
• Toplu dosya yükleme yeteneği
• Keyfi dosya indirme desteği

Güvenlik nedeniyle JavaScript normalde remote dosya indirmeye izin vermiyor. Saldırganlar bu engeli aşmak için Chrome DevTools Protocol (CDP) kullanıyor.

Neden Tarayıcı Tabanlı Backdoor?

LAB52'ye göre, tarayıcı tabanlı backdoor kullanmanın birkaç avantajı var:

1. Şüphesiz Süreç: Tarayıcı yaygın ve genellikle şüpheli bulunmayan bir süreç
2. Geniş Yetenekler: Debug parametreleri üzerinden remote dosya indirme gibi güvensiz işlemler yapılabiliyor
3. Meşru Erişim: Mikrofon, kamera ve ekran kaydı gibi hassas kaynaklara meşru yollarla erişim sağlanabiliyor
4. Tespit Zorluğu: Geleneksel antivirüs çözümleri tarayıcı süreçlerini nadiren engelliyor

Sonuç

DRILLAPP henüz geliştirme aşamasının başlarında görünüyor. Bu kampanya, saldırganların tespit edilmekten kaçınmak için yeni yöntemler aradığını ve tarayıcıların sağladığı benzersiz yeteneklerden faydalandığını gösteriyor.