DRILLAPPバックドア

サイバーセキュリティアナリストは、ウクライナの組織を標的とした新たな脅威キャンペーンを特定した。ロシアと関連のある攻撃者の関与を示唆する兆候が見られる。2026年2月に初めて確認されたこの活動は、Laundry Bear（UAC-0190またはVoid Blizzardとしても追跡されている）として知られるグループによる以前の作戦と技術的に重複している。以前のキャンペーンはウクライナ国防軍を標的とし、PLUGGYAPEと呼ばれるマルウェアファミリーを展開していた。

今回の攻撃では、Microsoft Edgeブラウザを介して実行されるJavaScriptベースのバックドアが導入された。研究者らがDRILLAPPと呼ぶこのマルウェアは、ブラウザの機能を悪用してファイルのアップロードとダウンロード、マイクへのアクセス、被害者のウェブカメラからの画像キャプチャを行うように設計されている。

攻撃者は、悪意のあるコンポーネントを拡散するためにソーシャルエンジニアリングの手法を利用します。法的問題や慈善活動に言及する誘い文句を用いて、被害者に悪意のあるファイルを開かせ、感染連鎖を開始させます。

欺瞞的な誘引と初期感染方法

このキャンペーンは、2つの異なるバリエーションが確認されています。2026年2月初旬に検出された最初のバージョンは、Windowsショートカット（LNK）ファイルを初期配信メカニズムとして使用します。このショートカットが実行されると、システムの一時ディレクトリ内にHTMLアプリケーション（HTA）ファイルが作成されます。このHTAファイルは、正規のペースト共有サービスであるPastefyにホストされているリモートスクリプトを取得します。

侵害したシステム上で永続的な感染を維持するため、攻撃者は悪意のあるLNKファイルをWindowsのスタートアップフォルダにコピーし、システム再起動後に自動的に実行されるようにします。感染が始まると、被害者にはStarlinkのインストール手順やウクライナの慈善団体Come Back Alive Foundationへの言及など、偽のテーマを含むURLが表示されます。

HTAファイルは最終的に、ヘッドレスモードで動作するMicrosoft Edgeブラウザを介して起動され、ブラウザは標準のブラウザウィンドウを表示することなく、Pastefyから取得した難読化されたスクリプトを実行できます。

ブラウザパラメータを悪用したステルスアクセス

悪意のあるプロセスは、その機能を最大限に活用するために、組み込みのセキュリティ保護を弱め、機密性の高いシステムリソースへの不正アクセスを可能にする複数のパラメータを指定してEdgeブラウザを起動します。

これらのパラメータにより、ブラウザインスタンスは通常のセキュリティ対策を回避し、ブラウザのセキュリティモデルによって通常制限されているアクションを実行できます。この設定により、マルウェアは被害者の操作を一切必要とせずに、ローカルファイルへのアクセス、音声およびビデオストリームのキャプチャ、画面アクティビティの記録を効果的に行うことができます。

攻撃に使用された主要なブラウザパラメータは以下のとおりです。

--サンドボックスなし

--ウェブセキュリティを無効にする

--ファイルからのファイルアクセスを許可する

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--ユーザーメディアセキュリティを無効にする

これらの設定を悪用することで、ブラウザは単なる配信プラットフォームではなく、マルウェアのインフラストラクチャの機能的な構成要素となる。

ブラウザベースのバックドアおよび監視機能

DRILLAPPアーティファクトは、軽量ながら汎用性の高いバックドアとして機能します。一度アクティブになると、攻撃者はブラウザの機能を利用して感染したシステムとやり取りできるようになり、ブラウザを事実上リモート監視ツールに変えてしまいます。

このマルウェアは、侵害されたデバイスから広範囲にわたる監視とデータ収集を可能にする複数の操作を実行できる能力を備えている。

主な機能は以下のとおりです。

• ローカルシステムからのファイルのアップロードとダウンロード
• デバイスのマイクを通して音声を録音する
• ウェブカメラを通してビデオを録画する
• システム画面のスクリーンショットを撮る
• キャンバスフィンガープリンティング技術を使用して、固有のデバイスフィンガープリントを生成する

マルウェアは初回実行時にデバイスのフィンガープリントを生成し、Pastefyを「デッドドロップリゾルバー」として使用して、コマンド＆コントロール通信に使用されるWebSocketアドレスを取得します。このアーキテクチャにより、攻撃者は感染したシステムを動的に自身の運用インフラにリダイレクトすることが可能になります。

このバックドアは、デバイスのフィンガープリントと被害者の推定地理的位置情報も送信します。位置情報はシステムのタイムゾーンに基づいて決定され、英国、ロシア、ドイツ、フランス、中国、日本、米国、ブラジル、インド、ウクライナ、カナダ、オーストラリア、イタリア、スペイン、ポーランドを含む事前定義されたリストと照合されます。タイムゾーンがこれらの地域のいずれとも一致しない場合、マルウェアはデフォルトでシステムを米国にあると識別します。

第2キャンペーンバリアントにおける進化する戦術

2026年2月下旬には、このキャンペーンの第2バージョンが出現し、攻撃全体の構造は維持しつつ、いくつかの変更が加えられた。更新されたバージョンでは、LNKショートカットファイルに依存する代わりに、Windowsコントロールパネルのモジュールを初期配信メカニズムとして使用している。

バックドアコンポーネント自体も機能的にアップグレードされました。これらの機能強化により、マルウェアはより高度なファイルシステム操作を実行できるようになり、感染環境からデータを抜き出す能力が向上しました。

主な改善点としては、再帰的なファイル列挙、バッチファイルアップロード、および侵害されたシステムに任意のファイルを直接ダウンロードできる機能などが挙げられる。

Chromiumデバッグツールを使用してJavaScriptの制限を回避する

標準的なJavaScriptのセキュリティ制限では、通常、リモートコードが被害者のシステムに直接ファイルをダウンロードすることは阻止されます。この制限を回避するため、攻撃者はChromiumベースのブラウザで使用される内部デバッグインターフェースであるChrome DevTools Protocol（CDP）を利用します。

CDPは、ブラウザを--remote-debugging-portパラメータを有効にして起動した場合にのみアクセスできます。このデバッグ機能を有効にすることで、攻撃者はブラウザの動作をプログラムで制御し、通常のクライアント側の制限を回避して、通常はブロックされるリモートファイルダウンロードを可能にします。

初期開発指標と実験インフラ

証拠から、このマルウェアは現在も活発に開発が進められていることが示唆されている。2026年1月28日に実際に発見された初期の亜種は、Pastefyから主要なペイロードを取得するのではなく、「gnome.com」ドメインとのみ通信していた。

この挙動は、攻撃者が依然としてインフラとバックドアの運用能力の両方を改良している可能性を示唆している。

新たな回避戦略としてのブラウザ悪用

この攻撃キャンペーンにおける最も重要な点の1つは、バックドアの主要な実行環境としてウェブブラウザを意図的に利用したことだ。この手法は、攻撃者が検出を回避するために正規のソフトウェアを転用するという、近年増加傾向にある問題を示している。

ブラウザは悪意のある操作にとっていくつかの利点を提供する。広く利用されており、一般的に無害なプロセスとみなされているため、すぐに疑われる可能性が低い。さらに、ブラウザのデバッグパラメータを使用すると、リモートファイルダウンロードや広範なシステムアクセスなど、通常は制限されている操作を可能にする強力な機能が解放される可能性がある。

さらに、ブラウザはマイク、カメラ、画面キャプチャ機構などの機密性の高いハードウェアリソースとやり取りするための正当な権限を保持しているため、攻撃者は通常のシステム動作に紛れ込みながら監視活動を行うことが可能になります。