文章总结： 俄罗斯APT组织LaundryBear利用名为DrillApp的新型后门程序，通过MicrosoftEdge浏览器的调试功能对乌克兰机构进行攻击，借助无头模式及危险参数绕过安全防护，实现摄像头、麦克风、屏幕及文件系统的隐秘窃取。攻击利用热点话题伪装诱饵，并通过WebSocket与C2服务器通信。建议用户警惕陌生文件、关闭浏览器危险调试功能、强化终端防护并及时更新系统。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,红队,web安全

警惕！Edge浏览器竟成黑客窃密工具，俄罗斯APT组织Laundry Bear专盯乌克兰搞渗透

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年4月6日 12:00 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

近期，全球网络安全圈爆出一则重磅预警：与俄罗斯关联的APT组织Laundry Bear（又名UAC-0190、Void Blizzard）再出新招，推出一款名为DRILLAPP的新型后门程序，借着Microsoft Edge浏览器的调试功能大肆攻击乌克兰相关机构，实现隐秘窃密。更值得警惕的是，该组织把浏览器打造成攻击载体，利用其“合法身份”规避检测，这种全新攻击思路让网络防护又面临新挑战！

老团伙再出手，借热点设诱饵精准钓鱼

说起Laundry Bear这个APT组织，算是针对乌克兰的“老面孔”了。此前该组织就曾用PLUGGYAPE恶意软件攻击乌克兰国防军，靠着伪装慈善网站、发送带迷惑性扩展名的恶意文件等手段屡屡得手。而这次推出DRILLAPP后门，更是将社会工程学钓鱼玩到了新高度，专挑乌克兰的热点话题做文章。

2026年2月被监测到的攻击活动中，黑客的诱饵堪称“量身定制”。早期版本通过LNK文件传播，诱饵不仅有乌克兰民众关注的Starlink卫星终端安装相关图像，还伪装成当地知名慈善组织“Come Back Alive”的求助请求；后续变种升级后，又换上了武器缴获报告、乌克兰国家审计署南方办公室文件等伪装，甚至借着国民警卫队网站做掩护，让受害者放松警惕。

这些诱饵一旦被点击，就会在设备临时文件夹中创建HTML文件，加载来自pastefy.app等公共文本分享平台的混淆脚本，悄无声息地启动攻击链，而这一切，受害者往往毫无察觉。

浏览器变“特洛伊木马”，Edge调试模式被玩坏

DRILLAPP后门最核心的可怕之处，在于它把日常使用的Microsoft Edge浏览器变成了攻击工具。黑客彻底绕开了传统恶意软件的传播路径，利用浏览器的调试功能和合法进程属性，实现了“隐身”渗透。

黑客会让Edge以**无头模式**运行，还会启用一系列危险参数：–no-sandbox（关闭沙箱防护）、–disable-web-security（禁用网页安全机制）、–allow-file-access-from-files（允许文件访问）等。这些参数直接让浏览器的安全防线全面失守，无需用户任何交互，就能自动获取摄像头、麦克风、屏幕捕获的权限，甚至自由访问本地文件系统。

简单来说，一旦中招，你的电脑就成了黑客的“透明橱窗”：麦克风实时录音、摄像头偷偷拍录、屏幕操作全程记录，本地文件也能被随意查看，而这一切都通过浏览器完成，普通的安全检测很难发现异常。更狡猾的是，后门还会生成设备哈希指纹，检测设备所在时区，精准定位受害者信息，再通过WebSocket与远程控制服务器建立连接，让黑客实现全程操控。

到了2月下旬出现的DRILLAPP变种，攻击手段还做了升级：把LNK文件换成了CPL控制面板模块文件，新增递归文件列表、批量文件上传、远程文件下载功能。为了绕过JavaScript禁止远程下载文件的限制，黑客还利用Chrome DevTools协议（CDP），通过远程调试端口修改下载路径，注入脚本模拟用户点击，实现文件的秘密传输，攻击手法更隐蔽、功能更强大。

攻击仍在迭代，背后威胁不容小觑

根据S2 Group旗下LAB52威胁情报团队的分析，DRILLAPP后门目前仍处于**早期开发阶段**，但已经展现出了快速迭代的特点。研究人员发现，早在2026年1月28日，就有来自俄罗斯的样本出现了类似的感染链，只是当时尚未加载完整后门，仅与特定域名通信，这意味着黑客的攻击活动早有铺垫，且一直在持续优化。

之所以选择浏览器作为攻击载体，黑客的算盘打得很精：浏览器是电脑的基础进程，日常运行完全不会引起怀疑；通过调试参数能解锁各种“危险功能”，实现常规恶意软件难以做到的操作；更重要的是，浏览器本身就有访问麦克风、摄像头等敏感资源的合法权限，不会触发系统的即时警报。

而Laundry Bear组织的攻击目标也十分明确，长期聚焦乌克兰的国防、教育、交通等关键领域，此次DRILLAPP后门攻击更是典型的网络间谍行为，其目的就是窃取乌克兰相关机构的敏感信息，这也让地缘政治冲突下的网络对抗愈发激烈。

通用防护指南，守住你的浏览器安全

虽然此次攻击主要针对乌克兰，但DRILLAPP后门展现的“浏览器攻击”思路，给所有网络使用者都敲响了警钟。结合该后门的攻击特点，分享几个通用且实用的防护方法，守住你的设备安全：

1. 警惕陌生文件，拒绝“钓鱼”诱惑

不随意点击来路不明的LNK、CPL文件，尤其是伪装成公益求助、官方文件、热点话题相关的陌生链接和附件；对Starlink终端安装、政务文件等官方信息，务必通过正规渠道获取，切勿相信非官方的“快捷操作文件”。

2. 关闭浏览器危险调试功能，限制参数使用

普通用户无需开启浏览器的远程调试端口和开发者模式，检查Edge浏览器设置，禁止非授权的调试参数运行；企业用户可通过组策略限制员工浏览器的危险参数启用，从源头封堵漏洞。

3. 强化终端防护，监控异常进程

给设备安装正规的杀毒软件和入侵检测系统（IDS），及时更新病毒库，对浏览器的异常行为进行监控——比如无操作时的摄像头启动、麦克风占用、大量文件读写等，一旦发现立即终止进程并全盘扫描。

4. 及时更新系统和浏览器，修补安全漏洞

黑客往往会利用软件的未修补漏洞展开攻击，务必及时更新Windows系统和Microsoft Edge浏览器，开启自动更新功能，让系统和软件始终处于最新的安全状态。

5. 企业做好权限管控，实行最小权限原则

企业机构要严格控制员工设备的文件访问、外设使用权限，避免单一账户拥有过高权限；对敏感数据进行加密存储，即使设备被入侵，也能减少数据泄露损失。

网络攻击的手段永远在迭代，从传统恶意软件到利用合法程序做掩护，黑客的规避检测思路不断升级。此次DRILLAPP后门的出现，再次证明网络安全没有“绝对安全”的领域，哪怕是日常使用的浏览器，也可能成为黑客的突破口。唯有提高警惕、做好防护、及时更新，才能在复杂的网络威胁环境中，守住自己的安全防线。

关注我，获取更多最新网络安全预警和实用防护技巧，让你的数智化生活更安全！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！Edge浏览器竟成黑客窃密工具，俄罗斯APT组织Laundry Bear专盯乌克兰搞渗透》