Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware OneClick

Malware OneClick

V roce Mezo v roce Malware
Přeložit do:

Sofistikovaná kybernetická kampaň s názvem OneClik cílí na energetický, ropný a plynárenský sektor pomocí kombinace klamavých metod nasazení a na míru vytvořeného malwaru. Jádrem této operace je zneužití technologie ClickOnce od společnosti Microsoft a výkonného backdooru RunnerBeacon založeného na jazyku Golang. Ačkoli indikátory naznačují možné propojení s čínskými aktéry hrozby, připisování útoku je stále nejisté.

ClickOnce: Dvousečný nástroj pro nasazení

Funkce ClickOnce od společnosti Microsoft je navržena tak, aby zjednodušila proces nasazení a aktualizace aplikací systému Windows a umožnila instalaci s minimální interakcí uživatele. Tato funkce, zavedená v rozhraní .NET Framework 2.0, umožňuje aplikacím spouštět se s omezenými oprávněními bez nutnosti administrátorských práv.

Tato výhoda bohužel také udělala z ClickOnce cenný nástroj pro kyberzločince. Škodlivé aplikace lze nasadit pomocí důvěryhodného binárního souboru Windows (dfsvc.exe), který zpracovává aplikace ClickOnce. Tyto aplikace se spouštějí jako podřízený proces dfsvc.exe, což útočníkům umožňuje nenápadně spouštět škodlivý kód bez nutnosti spouštět bezpečnostní alarmy nebo mít zvýšená oprávnění.

Taktiky infiltrace: Phishing a podvod

Řetězec útoku začíná dobře připravenými phishingovými e-maily, které lákají oběti na falešný web pro analýzu hardwaru. Jakmile oběť web navštíví, je na server doručena a spuštěna škodlivá aplikace ClickOnce pomocí souboru dfsvc.exe.

Tento zavaděč vkládá škodlivý kód do paměti pomocí metody známé jako AppDomainManager injection, což vede ke spuštění zašifrovaného shellcode. Největším užitečným zatížením je RunnerBeacon, sofistikovaný backdoor v Golangu.

RunnerBeacon: Výkonný a všestranný implantát

Backdoor RunnerBeacon je navržen tak, aby podporoval širokou škálu funkcí, včetně:

  • Komunikace přes více protokolů: HTTP(S), WebSockets, raw TCP a SMB pojmenované kanály
  • Provádění příkazů shellu a operací se souborovým systémem
  • Výčet a ukončení procesů
  • Eskalace oprávnění prostřednictvím krádeže tokenů a zosobnění
  • Boční pohyb v síti

Nabízí také pokročilé techniky proti analýze a úniku dat spolu s podporou síťově orientovaných operací, jako je skenování portů, přesměrování portů a proxying SOCKS5.

Klon Geacona?

RunnerBeacon vykazuje silné podobnosti s variantami Cobalt Strike založenými na Go, jako jsou Geacon, Geacon Plus a Geacon Pro. Odráží jejich strukturu příkazů, funkce pro komunikaci napříč protokoly a provozní flexibilitu. Tyto vlastnosti naznačují, že RunnerBeacon by mohl být upravenou nebo vyvinutou verzí Geaconu, vylepšenou tak, aby se bezproblémově začlenila do cloudových prostředí.

Vyvíjející se hrozba: Detekováno více variant

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali jen v březnu 2025 tři odlišné varianty OneCliku:

  • v1a
  • BPI-MDM
  • v1d

Každá verze obsahuje vylepšení, která vylepšují systémy stealth a obcházení detekce. Stopy RunnerBeaconu však byly objeveny již v září 2023 u společnosti v ropném a plynárenském sektoru Blízkého východu, což naznačuje probíhající vývoj a testování.

Techniky a atribuce: Známé, ale nepotvrzené

Použití injekce AppDomainManager je dobře zdokumentovaná taktika, která byla dříve pozorována v kybernetických kampaních spojených s čínskými a severokorejskými aktéry. Navzdory podobnosti v technice a přístupu však vědci nebyli schopni kampaň OneClik přesvědčivě přiřadit žádné známé skupině.

Pokud jde o identifikaci známek kompromitace, organizace by si měly dávat pozor na phishingové e-maily, které směrují příjemce na podvodné webové stránky pro analýzu hardwaru, protože ty jsou často prvními vstupními body pro útok. Dalším varovným signálem je použití aplikací ClickOnce spouštěných prostřednictvím procesu dfsvc.exe, což může naznačovat přítomnost škodlivých dat. Podezřelé nasazení technik injektování AppDomainManager a odchozí připojení k infrastruktuře ovládané útočníkem hostované na Amazon Web Services (AWS) jsou také silnými indikátory kompromitace.

Aby se podniky mohly chránit před takovými hrozbami, měly by zvážit deaktivaci nebo pečlivé sledování nasazení ClickOnce, zejména ve vysoce rizikových prostředích. Bezpečnostní týmy by měly sledovat anomální podřízené procesy pocházející z dfsvc.exe, které by mohly signalizovat škodlivou aktivitu. Nasazení řešení pro detekci a reakci na koncové body (EDR) může pomoci identifikovat a zmírnit chování při vkládání aplikací do domény AppDomain. Kromě toho může zkoumání síťového provozu z hlediska neobvyklého použití protokolů, jako je neočekávané chování proxy serveru nebo pokusy o přesměrování portů, pomoci při detekci skrytých komunikačních kanálů.

Závěr

Kampaň OneClik zdůrazňuje, jak útočníci neustále zdokonalují své taktiky, aby zneužili legitimní technologie. Pro organizace v sektorech kritické infrastruktury je pro zmírnění dopadu těchto pokročilých hrozeb i nadále zásadní udržovat ostražitý postoj a zavádět vícevrstvou bezpečnostní obranu.

 

Trendy

Nejvíce shlédnuto

Načítání...