قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار وان‌کلیک

بدافزار وان‌کلیک

تا Mezo در بدافزار
ترجمه به:

یک کمپین سایبری پیچیده به نام OneClik با استفاده از ترکیبی از روش‌های استقرار فریبنده و بدافزارهای سفارشی، بخش‌های انرژی، نفت و گاز را هدف قرار می‌دهد. در قلب این عملیات، سوءاستفاده از فناوری ClickOnce مایکروسافت و یک در پشتی قدرتمند مبتنی بر Golang به نام RunnerBeacon قرار دارد. اگرچه نشانه‌ها حاکی از ارتباط احتمالی با عوامل تهدید چینی است، اما انتساب آن همچنان در هاله‌ای از ابهام است.

ClickOnce: یک ابزار استقرار دو لبه

ClickOnce مایکروسافت برای ساده‌سازی فرآیند استقرار و به‌روزرسانی برنامه‌های ویندوز طراحی شده است و امکان نصب با حداقل تعامل کاربر را فراهم می‌کند. این ویژگی که در .NET Framework 2.0 معرفی شد، برنامه‌ها را قادر می‌سازد تا با مجوزهای محدود و بدون نیاز به حقوق مدیریتی اجرا شوند.

متأسفانه، این سهولت، ClickOnce را به یک دارایی ارزشمند برای مجرمان سایبری نیز تبدیل کرده است. برنامه‌های مخرب را می‌توان با استفاده از یک فایل باینری ویندوز قابل اعتماد (dfsvc.exe) که برنامه‌های ClickOnce را مدیریت می‌کند، مستقر کرد. این برنامه‌ها به عنوان یک فرآیند فرزند dfsvc.exe اجرا می‌شوند و به مهاجمان اجازه می‌دهند بدون ایجاد هشدارهای امنیتی یا نیاز به امتیازات بالا، کد مخرب را مخفیانه اجرا کنند.

تاکتیک‌های نفوذ: فیشینگ و فریب

زنجیره حمله با ایمیل‌های فیشینگِ به‌خوبی ساخته‌شده‌ای آغاز می‌شود که قربانیان را به یک سایت جعلی تحلیل سخت‌افزار هدایت می‌کند. به‌محض اینکه قربانی از سایت بازدید می‌کند، یک برنامه‌ی مخرب ClickOnce با استفاده از dfsvc.exe اجرا می‌شود.

این لودر با استفاده از روشی به نام تزریق AppDomainManager، کد مخرب را به حافظه تزریق می‌کند و در نتیجه یک shellcode رمزگذاری شده اجرا می‌شود. payload نهایی RunnerBeacon، یک backdoor پیچیده Golang است.

RunnerBeacon: یک ایمپلنت قدرتمند و همه کاره

درب پشتی RunnerBeacon برای پشتیبانی از طیف گسترده‌ای از قابلیت‌ها ساخته شده است، از جمله:

  • ارتباط از طریق پروتکل‌های متعدد: HTTP(S)، WebSockets، TCP خام و SMB named pipeها
  • اجرای دستورات shell و عملیات سیستم فایل
  • شمارش و خاتمه فرآیند
  • افزایش امتیاز از طریق سرقت توکن و جعل هویت
  • حرکت جانبی درون یک شبکه

همچنین دارای تکنیک‌های پیشرفته ضد تحلیل و گریز، همراه با پشتیبانی از عملیات شبکه محور مانند اسکن پورت، ارسال پورت و پروکسی SOCKS5 است.

یک کلون از جیکون؟

RunnerBeacon شباهت‌های زیادی به انواع Cobalt Strike مبتنی بر Go مانند Geacon، Geacon Plus و Geacon Pro دارد. این نرم‌افزار ساختارهای فرماندهی، ویژگی‌های ارتباط بین پروتکلی و انعطاف‌پذیری عملیاتی آنها را منعکس می‌کند. این ویژگی‌ها نشان می‌دهد که RunnerBeacon ممکن است یک انشعاب سفارشی یا تکامل‌یافته از Geacon باشد که برای ادغام یکپارچه در محیط‌های ابری اصلاح شده است.

تهدید در حال تکامل: چندین نوع شناسایی شد

محققان امنیت سایبری تنها در مارس ۲۰۲۵ سه نوع متمایز از OneClik را شناسایی کردند:

  • وی۱ای
  • BPI-MDM
  • وی۱دی

هر نسخه شامل اصلاحاتی است که سیستم‌های تشخیص مخفی و دور زدن را افزایش می‌دهد. با این حال، ردپای RunnerBeacon در سپتامبر 2023 در شرکتی در بخش نفت و گاز خاورمیانه کشف شد که نشان دهنده توسعه و آزمایش مداوم است.

تکنیک‌ها و انتساب: آشنا اما تأیید نشده

استفاده از تزریق AppDomainManager یک تاکتیک کاملاً مستند است و قبلاً در کمپین‌های سایبری مرتبط با عوامل تهدید چینی و کره شمالی مشاهده شده است. با این حال، علیرغم شباهت‌ها در تکنیک و رویکرد، محققان نتوانسته‌اند به طور قطعی کمپین OneClik را به هیچ گروه شناخته‌شده‌ای نسبت دهند.

از نظر شناسایی نشانه‌های نفوذ، سازمان‌ها باید نسبت به ایمیل‌های فیشینگی که گیرندگان را به وب‌سایت‌های جعلی تحلیل سخت‌افزار هدایت می‌کنند، هوشیار باشند، زیرا این وب‌سایت‌ها اغلب نقاط ورود اولیه برای حمله هستند. یکی دیگر از نشانه‌های هشدار، استفاده از برنامه‌های ClickOnce است که از طریق فرآیند dfsvc.exe راه‌اندازی می‌شوند، که ممکن است نشان‌دهنده وجود بارهای مخرب باشد. استقرار مشکوک تکنیک‌های تزریق AppDomainManager و اتصالات خروجی به زیرساخت‌های تحت کنترل مهاجم که در سرویس‌های وب آمازون (AWS) میزبانی می‌شوند، نیز از نشانه‌های قوی نفوذ هستند.

برای دفاع در برابر چنین تهدیدهایی، شرکت‌ها باید غیرفعال کردن یا نظارت دقیق بر استقرار ClickOnce را، به ویژه در محیط‌های پرخطر، در نظر بگیرند. تیم‌های امنیتی باید مراقب فرآیندهای فرزند غیرعادی ناشی از dfsvc.exe باشند که می‌تواند نشان‌دهنده فعالیت مخرب باشد. استقرار راه‌حل‌های تشخیص و پاسخ به نقاط پایانی (EDR) می‌تواند به شناسایی و کاهش رفتارهای تزریق AppDomain کمک کند. علاوه بر این، بررسی ترافیک شبکه برای استفاده غیرمعمول از پروتکل، مانند رفتار غیرمنتظره پروکسی یا تلاش‌های ارسال پورت، می‌تواند به تشخیص کانال‌های ارتباطی پنهان کمک کند.

نتیجه‌گیری

کمپین OneClik نشان می‌دهد که چگونه دشمنان به طور مداوم تاکتیک‌های خود را برای سوءاستفاده از فناوری‌های مشروع اصلاح می‌کنند. برای سازمان‌هایی که در بخش‌های زیرساخت‌های حیاتی فعالیت می‌کنند، حفظ هوشیاری و اجرای دفاع‌های امنیتی چندلایه برای کاهش تأثیر چنین تهدیدات پیشرفته‌ای ضروری است.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,279
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...