Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara OneCliki pahavara

OneCliki pahavara

Aastaks Mezo aastal Pahavara
Tõlgi:

Keerukas küberkampaania nimega OneClik on suunatud energia-, nafta- ja gaasisektorile, kasutades petlike juurutamismeetodite ja kohandatud pahavara segu. Selle operatsiooni keskmes on Microsofti ClickOnce'i tehnoloogia ja võimsa Golangil põhineva tagaukse RunnerBeacon kuritarvitamine. Kuigi näitajad viitavad võimalikule seosele Hiina ohutegelastega, on omistamine endiselt ebakindel.

ClickOnce: kahe teraga juurutamise tööriist

Microsofti ClickOnce on loodud Windowsi rakenduste juurutamise ja värskendamise protsessi lihtsustamiseks, võimaldades installimist minimaalse kasutaja sekkumisega. See .NET Framework 2.0-s kasutusele võetud funktsioon võimaldab rakendustel töötada piiratud õigustega ilma administraatoriõigusi nõudmata.

Kahjuks on see mugavus muutnud ClickOnce'i väärtuslikuks abivahendiks ka küberkurjategijatele. Pahatahtlikke rakendusi saab juurutada usaldusväärse Windowsi binaarfaili (dfsvc.exe) abil, mis haldab ClickOnce'i rakendusi. Need rakendused käivitatakse dfsvc.exe alamprotsessina, mis võimaldab ründajatel salaja pahatahtlikku koodi käivitada ilma turvaalarme käivitamata või kõrgendatud õigusi vajamata.

Sissetungimise taktika: andmepüük ja pettus

Rünnakuahel algab hästi koostatud andmepüügikirjadega, mis meelitavad ohvreid võltsitud riistvara analüüsi saidile. Kui ohver saiti külastab, saadetakse sinna pahatahtlik ClickOnce'i rakendus, mis käivitatakse dfsvc.exe abil.

See laadur süstib pahatahtlikku koodi mällu meetodil, mida tuntakse AppDomainManageri süstimise nime all, mille tulemuseks on krüpteeritud kestakoodi käivitamine. Lõplik kasulik koormus on RunnerBeacon, keerukas Golangi tagauks.

RunnerBeacon: võimas ja mitmekülgne implantaat

RunnerBeaconi tagauks on loodud toetama laia valikut võimalusi, sealhulgas:

  • Suhtlus mitme protokolli kaudu: HTTP(S), WebSockets, toores TCP ja SMB nimelised torud
  • Shelli käskude ja failisüsteemi toimingute täitmine
  • Protsesside loendamine ja lõpetamine
  • Privileegide eskaleerumine märkide varguse ja isikupärastamise kaudu
  • Külgmine liikumine võrgus

Samuti pakub see täiustatud analüüsi- ja vargusvastaseid tehnikaid ning tuge võrgukesksetele toimingutele, nagu portide skaneerimine, portide edastamine ja SOCKS5 puhverserveri kasutamine.

Geaconi kloon?

RunnerBeaconil on tugevaid sarnasusi Go-põhiste Cobalt Strike'i variantidega nagu Geacon, Geacon Plus ja Geacon Pro. See peegeldab nende juhtimisstruktuure, protokollidevahelisi suhtlusfunktsioone ja operatiivset paindlikkust. Need omadused viitavad sellele, et RunnerBeacon võib olla Geaconi kohandatud või edasiarendatud haru, mis on täiustatud sujuvalt pilvekeskkondadesse sulandumiseks.

Arenev oht: tuvastatud mitu varianti

Küberjulgeoleku uurijad tuvastasid ainuüksi 2025. aasta märtsis kolm erinevat OneCliki varianti:

  • v1a
  • BPI-MDM
  • v1d

Iga versioon sisaldab täiustusi, mis parandavad vargus- ja möödahiilimissüsteeme. RunnerBeaconi jälgi avastati aga juba 2023. aasta septembris Lähis-Ida nafta- ja gaasisektori ettevõttes, mis viitab käimasolevale arendusele ja testimisele.

Meetodid ja omistamine: tuttavad, kuid kinnitamata

AppDomainManageri süstimise kasutamine on hästi dokumenteeritud taktika ja seda on varem täheldatud Hiina ja Põhja-Korea küberrünnakutes. Vaatamata tehnika ja lähenemisviisi sarnasustele ei ole teadlased suutnud OneCliki kampaaniat lõplikult ühelegi teadaolevale rühmitusele omistada.

Ohumärkide tuvastamise osas peaksid organisatsioonid olema valvsad andmepüügikirjade suhtes, mis suunavad saajad petturlikele riistvaraanalüüsi veebisaitidele, kuna need on sageli rünnaku esmased sisenemispunktid. Teine ohumärk on dfsvc.exe protsessi kaudu käivitatud ClickOnce'i rakenduste kasutamine, mis võib viidata pahatahtlike koormuste olemasolule. Kahtlased AppDomainManageri süstimistehnikate juurutamine ja väljaminevad ühendused ründaja kontrollitava taristuga, mis on majutatud Amazon Web Services'is (AWS), on samuti tugevad ohumärgid.

Selliste ohtude eest kaitsmiseks peaksid ettevõtted kaaluma ClickOnce'i juurutuste keelamist või hoolikat jälgimist, eriti kõrge riskiga keskkondades. Turvameeskonnad peaksid jälgima dfsvc.exe-st tulenevaid anomaalseid lapseprotsesse, mis võivad viidata pahatahtlikule tegevusele. Lõpp-punkti tuvastamise ja reageerimise (EDR) lahenduste juurutamine aitab tuvastada ja leevendada rakenduse domeeni süstimise käitumist. Lisaks aitab varjatud sidekanaleid tuvastada võrguliikluse uurimine ebatavalise protokollikasutuse, näiteks ootamatu puhverserveri käitumise või portide edastamise katsete suhtes.

Kokkuvõte

OneCliki kampaania rõhutab, kuidas vastased pidevalt oma taktikaid täiustavad, et ära kasutada seaduslikke tehnoloogiaid. Kriitilise infrastruktuuri sektorites tegutsevate organisatsioonide jaoks on selliste keerukate ohtude mõju leevendamiseks jätkuvalt oluline säilitada valvas hoiak ja rakendada mitmekihilisi turvameetmeid.

 

Trendikas

Enim vaadatud

Laadimine...