Зловреден софтуер OneClik

Сложна киберкампания, наречена OneClik, е насочена към енергийния, петролния и газовия сектор, използвайки комбинация от измамни методи за внедряване и персонализиран зловреден софтуер. В основата на тази операция е злоупотребата с технологията ClickOnce на Microsoft и мощна, базирана на Golang, задна врата, наречена RunnerBeacon. Въпреки че индикаторите сочат възможна връзка с китайски хакери, атрибуцията остава колеблива.

ClickOnce: Инструмент за внедряване с две остриета

ClickOnce на Microsoft е проектиран да опрости процеса на внедряване и актуализиране на приложения за Windows, позволявайки инсталиране с минимално взаимодействие с потребителя. Въведена в .NET Framework 2.0, тази функция позволява на приложенията да работят с ограничени разрешения, без да се изискват администраторски права.

За съжаление, това удобство е превърнало ClickOnce в ценен актив за киберпрестъпниците. Злонамерени приложения могат да бъдат внедрени с помощта на надежден двоичен файл за Windows (dfsvc.exe), който обработва приложенията на ClickOnce. Тези приложения се изпълняват като дъщерен процес на dfsvc.exe, което позволява на атакуващите скрито да изпълняват злонамерен код, без да задействат аларми за сигурност или да се нуждаят от повишени привилегии.

Тактики за проникване: Фишинг и измама

Веригата от атаки започва с добре съставени фишинг имейли, които примамват жертвите към фалшив сайт за анализ на хардуер. След като жертвата посети сайта, злонамерено приложение ClickOnce се доставя и стартира с помощта на dfsvc.exe.

Този зареждащ програм инжектира зловреден код в паметта, използвайки метод, известен като AppDomainManager injection, което води до изпълнение на криптиран шелкод. Най-големият полезен товар е RunnerBeacon, усъвършенстван Golang backdoor.

RunnerBeacon: Мощен и универсален имплант

Задната вратичка RunnerBeacon е създадена да поддържа широк спектър от възможности, включително:

• Комуникация по множество протоколи: HTTP(S), WebSockets, raw TCP и SMB named pipes
• Изпълнение на команди на shell и операции с файловата система
• Изброяване и прекратяване на процеси
• Ескалация на привилегиите чрез кражба на токени и представяне за друг човек
• Странично движение в рамките на мрежата

Той също така разполага с усъвършенствани техники за анти-анализ и избягване, заедно с поддръжка на мрежово-центрични операции като сканиране на портове, пренасочване на портове и SOCKS5 проксиране.

Клонинг на Гийкон?

RunnerBeacon показва силни прилики с вариантите на Cobalt Strike, базирани на Go, като Geacon, Geacon Plus и Geacon Pro. Той отразява техните командни структури, функции за комуникация между протоколи и оперативна гъвкавост. Тези характеристики предполагат, че RunnerBeacon може да е персонализиран или еволюирал форк на Geacon, усъвършенстван, за да се слее безпроблемно в облачни среди.

Развиваща се заплаха: Открити са множество варианти

Изследователите по киберсигурност идентифицираха три различни варианта на OneClik само през март 2025 г.:

• v1a
• BPI-MDM
• v1d

Всяка версия включва подобрения, които подобряват стелт и заобикалянето на системите за откриване. Следи от RunnerBeacon обаче вече бяха открити през септември 2023 г. в компания в петролния и газовия сектор на Близкия изток, което показва продължаваща разработка и тестване.

Техники и атрибуция: Познати, но непотвърдени

Използването на инжектирането на AppDomainManager е добре документирана тактика и е наблюдавана преди това в киберкампании, свързани с китайски и севернокорейски злонамерени лица. Въпреки сходствата в техниката и подхода обаче, изследователите не са успели категорично да припишат кампанията OneClik на никоя известна група.

По отношение на идентифицирането на признаци на компрометиране, организациите трябва да бъдат нащрек за фишинг имейли, които насочват получателите към измамнически уебсайтове за анализ на хардуер, тъй като те често са първоначалните входни точки за атаката. Друг червен флаг е използването на приложения ClickOnce, стартирани чрез процеса dfsvc.exe, което може да показва наличието на злонамерени полезни товари. Подозрителното внедряване на техники за инжектиране на AppDomainManager и изходящи връзки към контролирана от нападателя инфраструктура, хоствана на Amazon Web Services (AWS), също са силни индикатори за компрометиране.

За да се защитят от подобни заплахи, предприятията трябва да обмислят деактивирането или внимателното наблюдение на внедряванията на ClickOnce, особено във високорискови среди. Екипите по сигурност трябва да следят за аномални дъщерни процеси, произтичащи от dfsvc.exe, които биха могли да сигнализират за злонамерена дейност. Внедряването на решения за откриване и реагиране в крайни точки (EDR) може да помогне за идентифициране и смекчаване на поведението при инжектиране на AppDomain. Освен това, изследването на мрежовия трафик за необичайна употреба на протоколи, като например неочаквано поведение на прокси или опити за пренасочване на портове, може да помогне за откриване на скрити комуникационни канали.

Заключение

Кампанията OneClik подчертава как противниците непрекъснато усъвършенстват тактиките си, за да експлоатират легитимни технологии. За организациите в секторите на критичната инфраструктура, поддържането на бдителност и прилагането на многопластови защитни мерки остават от съществено значение за смекчаване на въздействието на подобни напреднали заплахи.