عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج OneClik الخبيث

برنامج OneClik الخبيث

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

تستهدف حملة إلكترونية متطورة تُدعى OneClik قطاعات الطاقة والنفط والغاز باستخدام مزيج من أساليب النشر الخادعة والبرامج الضارة المصممة خصيصًا. ويرتكز هذا الهجوم على إساءة استخدام تقنية ClickOnce من مايكروسوفت، بالإضافة إلى برمجية خلفية قوية قائمة على لغة Golang تُسمى RunnerBeacon. ورغم أن المؤشرات تُشير إلى احتمال وجود صلة بين جهات تهديد صينية، إلا أن تحديد المسؤول عنها لا يزال غامضًا.

ClickOnce: أداة نشر ذات حدين

صُممت ميزة ClickOnce من مايكروسوفت لتبسيط عملية نشر وتحديث تطبيقات ويندوز، مما يسمح بتثبيتها بأقل قدر من تفاعل المستخدم. هذه الميزة، المُقدمة في .NET Framework 2.0، تُمكّن التطبيقات من العمل بأذونات محدودة دون الحاجة إلى صلاحيات إدارية.

للأسف، جعلت هذه الميزة من ClickOnce أداةً قيّمةً لمجرمي الإنترنت. يمكن نشر التطبيقات الخبيثة باستخدام ملف ثنائي موثوق من Windows (dfsvc.exe)، والذي يتعامل مع تطبيقات ClickOnce. تُنفَّذ هذه التطبيقات كعملية فرعية لملف dfsvc.exe، مما يسمح للمهاجمين بتشغيل برمجيات خبيثة خلسةً دون إثارة أي إنذارات أمنية أو الحاجة إلى امتيازات إضافية.

تكتيكات التسلل: التصيد الاحتيالي والخداع

تبدأ سلسلة الهجمات برسائل تصيد إلكتروني مُعدّة بعناية، تجذب الضحايا إلى موقع تحليل أجهزة مزيف. بمجرد زيارة الضحية للموقع، يتم تحميل وتشغيل تطبيق ClickOnce خبيث باستخدام dfsvc.exe.

يقوم هذا المُحمِّل بحقن شيفرة خبيثة في الذاكرة باستخدام طريقة تُعرف باسم حقن AppDomainManager، مما يؤدي إلى تنفيذ شفرة شل مُشفَّرة. الحمولة النهائية هي RunnerBeacon، وهي باب خلفي مُتطوّر بلغة Golang.

RunnerBeacon: غرسة قوية ومتعددة الاستخدامات

تم تصميم الباب الخلفي RunnerBeacon لدعم مجموعة واسعة من القدرات، بما في ذلك:

  • الاتصال عبر بروتوكولات متعددة: HTTP(S)، وWebSockets، وTCP الخام، وأنابيب SMB المسماة
  • تنفيذ أوامر shell وعمليات نظام الملفات
  • تعداد العمليات وإنهاؤها
  • تصعيد الامتيازات عبر سرقة الرمز وانتحال الشخصية
  • الحركة الجانبية داخل الشبكة

كما أنه يتميز بتقنيات متقدمة لمكافحة التحليل والتهرب، إلى جانب دعم العمليات التي تركز على الشبكة مثل مسح المنافذ، وإعادة توجيه المنافذ، وتوكيل SOCKS5.

نسخة من جياكون؟

يُظهر RunnerBeacon تشابهًا كبيرًا مع إصدارات Cobalt Strike القائمة على Go، مثل Geacon وGeacon Plus وGeacon Pro. فهو يعكس هياكل الأوامر، وميزات الاتصال عبر البروتوكولات، والمرونة التشغيلية. تشير هذه السمات إلى أن RunnerBeacon قد يكون نسخة مُخصصة أو مُطورة من Geacon، مُحسّنة للاندماج بسلاسة في بيئات السحابة.

التهديد المتطور: اكتشاف متغيرات متعددة

تمكن باحثو الأمن السيبراني من تحديد ثلاثة متغيرات مميزة لبرنامج OneClik في مارس 2025 وحده:

  • الإصدار 1أ
  • BPI-MDM
  • الإصدار 1د

يتضمن كل إصدار تحسينات تُحسّن أنظمة كشف التخفي والتجاوز. ومع ذلك، اكتُشفت آثار RunnerBeacon بالفعل في سبتمبر 2023 في شركة تعمل في قطاع النفط والغاز بالشرق الأوسط، مما يُشير إلى استمرار التطوير والاختبار.

التقنيات والإسناد: مألوفة ولكن غير مؤكدة

يُعد استخدام حقن AppDomainManager تكتيكًا موثقًا جيدًا، وقد لوحظ سابقًا في حملات إلكترونية مرتبطة بجهات تهديد صينية وكورية شمالية. ومع ذلك، ورغم تشابه التقنية والنهج، لم يتمكن الباحثون من نسب حملة OneClik بشكل قاطع إلى أي جماعة معروفة.

فيما يتعلق برصد علامات الاختراق، ينبغي على المؤسسات التنبه لرسائل التصيد الاحتيالي التي تُوجّه المستلمين إلى مواقع تحليل أجهزة احتيالية، لأنها غالبًا ما تكون نقاط الدخول الأولية للهجوم. ومن المؤشرات التحذيرية الأخرى استخدام تطبيقات ClickOnce التي يتم تشغيلها عبر عملية dfsvc.exe، والتي قد تشير إلى وجود حمولات ضارة. كما يُعدّ النشر المريب لتقنيات حقن AppDomainManager والاتصالات الصادرة إلى البنية التحتية التي يتحكم بها المهاجم والمستضافة على Amazon Web Services (AWS) مؤشرات قوية على الاختراق.

للدفاع ضد هذه التهديدات، ينبغي على الشركات النظر في تعطيل عمليات نشر ClickOnce أو مراقبتها عن كثب، خاصةً في البيئات عالية المخاطر. ينبغي على فرق الأمن مراقبة العمليات الفرعية الشاذة الناتجة عن dfsvc.exe، والتي قد تُشير إلى نشاط ضار. يُمكن أن يُساعد نشر حلول الكشف عن نقاط النهاية والاستجابة لها (EDR) في تحديد سلوكيات حقن نطاقات التطبيقات والحد منها. بالإضافة إلى ذلك، يُمكن أن يُساعد فحص حركة مرور الشبكة بحثًا عن استخدامات بروتوكول غير عادية، مثل سلوك الوكيل غير المتوقع أو محاولات إعادة توجيه المنفذ، في الكشف عن قنوات الاتصال السرية.

خاتمة

تُسلّط حملة OneClik الضوء على سعي الخصوم الدائم لتطوير أساليبهم لاستغلال التقنيات المشروعة. بالنسبة للمؤسسات العاملة في قطاعات البنية التحتية الحيوية، يُعدّ الحفاظ على اليقظة وتطبيق دفاعات أمنية متعددة الطبقات أمرًا بالغ الأهمية للتخفيف من أثر هذه التهديدات المتقدمة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,279
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...