Що сталось
Дослідники кібербезпеки виявили нову шкідливу програму DRILLAPP, яка цілеспрямовано атакує організації на території України. Цей бекдор є черговим свідченням постійних та адаптивних кіберзагроз, з якими стикається Україна. Виявлення DRILLAPP підкреслює необхідність постійної пильності та вдосконалення захисних механізмів, оскільки зловмисники продовжують шукати нові, менш помітні вектори для своїх операцій. Деталі щодо конкретних інцидентів чи часових рамок розповсюдження наразі уточнюються, проте вже відомо, що основною мішенню є український сектор.
Технічні деталі
DRILLAPP вирізняється своїм інноваційним підходом до встановлення зв'язку з командно-контрольним сервером. Замість традиційних методів, які часто блокуються мережевими екранами та системами виявлення вторгнень, бекдор використовує протокол віддаленого відлагодження Microsoft Edge (Microsoft Edge remote debugging protocol). Цей протокол, призначений для розробників, дозволяє віддалено керувати та інспектувати веб-браузер. DRILLAPP зловживає цією функціональністю, перетворюючи легітимний інструмент на прихований канал для отримання команд та викрадення даних.
Після інфікування системи, DRILLAPP встановлює з'єднання з віддаленим сервером через інтерфейс відлагодження Edge, що дозволяє зловмисникам виконувати довільні команди, завантажувати додаткові модулі або вивантажувати конфіденційну інформацію. Такий метод ускладнює виявлення шкідливої активності, оскільки трафік може виглядати як звичайний браузерний трафік або трафік розробницьких інструментів. Це робить DRILLAPP особливо небезпечним, оскільки багато організацій можуть не моніторити використання протоколів відлагодження на робочих станціях.
Кому загрожує
Основною мішенню для бекдора DRILLAPP є українські організації. Хоча конкретні сектори не були деталізовані у вихідному матеріалі, подібні загрози часто спрямовані на державні установи, критичну інфраструктуру, оборонний сектор, фінансові установи та компанії, що працюють у сфері інформаційних технологій. З огляду на геополітичний контекст, атаки, що використовують DRILLAPP, ймовірно, мають на меті шпигунство, саботаж або збір розвідувальних даних. Масштаб поширення поки невідомий, але цільовий характер атак вказує на високу ймовірність використання цього бекдора у складних, цілеспрямованих кампаніях.
Рекомендації
Для мінімізації ризиків, пов'язаних з DRILLAPP та подібними загрозами, Cyber Index UA рекомендує наступні дії:
- Моніторинг мережевого трафіку: Впровадьте посилений моніторинг вихідних з'єднань, особливо тих, що використовують нетипові порти або протоколи для браузерів, а також трафіку, пов'язаного з протоколами відлагодження.
- Обмеження функціональності: Заблокуйте або обмежте використання протоколів віддаленого відлагодження (наприклад, через групові політики) на робочих станціях та серверах, де це не є критично необхідним для розробки.
- Оновлення програмного забезпечення: Регулярно оновлюйте операційні системи, браузери та антивірусне програмне забезпечення, щоб усунути відомі вразливості.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни для співробітників, акцентуючи увагу на фішингових атаках та соціальній інженерії, які можуть бути вектором початкового зараження.
- Впровадження EDR/XDR рішень: Використовуйте рішення для виявлення та реагування на кінцевих точках (EDR) або розширеного виявлення та реагування (XDR) для моніторингу аномальної активності та поведінки на пристроях.
- Сегментація мережі: Застосовуйте принципи сегментації мережі для обмеження горизонтального переміщення зловмисників у разі компрометації одного з вузлів.
