Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma OneClik-haittaohjelma

OneClik-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Hienostunut OneClik-niminen kyberkampanja kohdistaa hyökkäyksensä energia-, öljy- ja kaasusektoreihin käyttäen harhaanjohtavia käyttöönottomenetelmiä ja räätälöityjä haittaohjelmia. Operaation ytimessä on Microsoftin ClickOnce-teknologian ja tehokkaan Golang-pohjaisen RunnerBeaconin takaoven väärinkäyttö. Vaikka merkit viittaavat mahdolliseen yhteyteen kiinalaisiin uhkatoimijoihin, tekijän alkuperän määrittäminen on edelleen epävarmaa.

ClickOnce: Kaksiteräinen käyttöönottotyökalu

Microsoftin ClickOnce on suunniteltu yksinkertaistamaan Windows-sovellusten käyttöönottoa ja päivitystä, jolloin asennukset vaativat mahdollisimman vähän käyttäjän toimia. Tämä .NET Framework 2.0:ssa esitelty ominaisuus mahdollistaa sovellusten suorittamisen rajoitetuilla käyttöoikeuksilla ilman järjestelmänvalvojan oikeuksia.

Valitettavasti tämä kätevyys on tehnyt ClickOncesta myös arvokkaan resurssin kyberrikollisille. Haittaohjelmia voidaan ottaa käyttöön käyttämällä luotettavaa Windows-binääritiedostoa (dfsvc.exe), joka käsittelee ClickOnce-sovelluksia. Nämä sovellukset suoritetaan dfsvc.exe:n aliprosessina, minkä ansiosta hyökkääjät voivat suorittaa haitallista koodia huomaamattomasti ilman, että he aiheuttavat tietoturvahälytyksiä tai tarvitsevat laajennettuja käyttöoikeuksia.

Tunkeutumistaktiikat: tietojenkalastelu ja petos

Hyökkäysketju alkaa taitavasti laadituilla tietojenkalasteluviesteillä, jotka houkuttelevat uhrit tekaistulle laitteistoanalyysisivustolle. Kun uhri vierailee sivustolla, se lataa haitallisen ClickOnce-sovelluksen, joka käynnistyy dfsvc.exe-tiedoston avulla.

Tämä latausohjelma ruiskuttaa haitallista koodia muistiin käyttämällä AppDomainManager-injektiota, mikä johtaa salatun shell-koodin suorittamiseen. Lopullinen hyötykuorma on RunnerBeacon, hienostunut Golang-takaovi.

RunnerBeacon: Tehokas ja monipuolinen implantti

RunnerBeaconin takaovi on rakennettu tukemaan monenlaisia ominaisuuksia, mukaan lukien:

  • Tiedonsiirto useiden protokollien kautta: HTTP(S), WebSockets, raaka TCP ja SMB:n nimetyt putket
  • Shell-komentojen ja tiedostojärjestelmätoimintojen suorittaminen
  • Prosessien luettelointi ja lopettaminen
  • Etuoikeuksien eskaloituminen token-varkauden ja henkilöllisyyden anastamisen kautta
  • Sivuttaisliike verkon sisällä

Siinä on myös edistyneitä anti-analyysi- ja evaasiotekniikoita sekä tuki verkkokeskeisille toiminnoille, kuten porttien skannaukselle, porttien edelleenlähetykselle ja SOCKS5-välityspalvelimelle.

Geaconin klooni?

RunnerBeaconilla on vahvoja yhtäläisyyksiä Go-pohjaisten Cobalt Strike -varianttien, kuten Geaconin, Geacon Plusin ja Geacon Pron, kanssa. Se peilaa niiden komentorakenteita, protokollien välisiä viestintäominaisuuksia ja toiminnallista joustavuutta. Nämä ominaisuudet viittaavat siihen, että RunnerBeacon saattaa olla Geaconin räätälöity tai kehittynyt haarauma, jota on jalostettu sulautumaan saumattomasti pilviympäristöihin.

Kehittyvä uhka: Useita variantteja havaittu

Kyberturvallisuustutkijat tunnistivat kolme erillistä OneClik-varianttia pelkästään maaliskuussa 2025:

  • v1a
  • BPI-MDM
  • v1d

Jokainen versio sisältää parannuksia, jotka parantavat häive- ja ohitusjärjestelmiä. RunnerBeaconin jälkiä löydettiin kuitenkin jo syyskuussa 2023 Lähi-idän öljy- ja kaasusektorin yrityksestä, mikä viittaa jatkuvaan kehitykseen ja testaukseen.

Tekniikat ja attribuutio: Tuttuja mutta vahvistamattomia

AppDomainManager-injektion käyttö on hyvin dokumentoitu taktiikka, ja sitä on aiemmin havaittu kiinalaisten ja pohjoiskorealaisten uhkatoimijoiden kyberkampanjoissa. Tekniikan ja lähestymistavan samankaltaisuuksista huolimatta tutkijat eivät ole kyenneet yksiselitteisesti yhdistämään OneClik-kampanjaa mihinkään tunnettuun ryhmään.

Organisaatioiden tulisi olla valppaina tietokalasteluviestien varalta, jotka ohjaavat vastaanottajat vilpillisille laitteistoanalyysisivustoille, sillä nämä ovat usein hyökkäyksen ensimmäisiä sisäänpääsykohtia. Toinen varoitusmerkki on dfsvc.exe-prosessin kautta käynnistettyjen ClickOnce-sovellusten käyttö, joka voi viitata haitallisten hyötykuormien läsnäoloon. Epäilyttävä AppDomainManager-injektiotekniikoiden käyttöönotto ja lähtevät yhteydet hyökkääjän hallitsemaan Amazon Web Servicesissä (AWS) isännöityyn infrastruktuuriin ovat myös vahvoja merkkejä tietomurrosta.

Tällaisilta uhilta puolustautumiseksi yritysten tulisi harkita ClickOnce-käyttöönottojen poistamista käytöstä tai tarkkaa valvontaa, erityisesti riskialttiissa ympäristöissä. Tietoturvatiimien tulisi tarkkailla dfsvc.exe-tiedostosta peräisin olevia poikkeavia lapsiprosesseja, jotka voivat viitata haitalliseen toimintaan. Päätepisteiden tunnistus- ja reagointiratkaisujen (EDR) käyttöönotto voi auttaa tunnistamaan ja lieventämään AppDomain-injektiotoimintoja. Lisäksi verkkoliikenteen tutkiminen epätavallisen protokollakäytön, kuten odottamattoman välityspalvelimen toiminnan tai portin edelleenlähetysyritysten, varalta voi auttaa havaitsemaan peiteltyjä viestintäkanavia.

Johtopäätös

OneClik-kampanja korostaa, kuinka vastustajat jatkuvasti hiovat taktiikoitaan hyödyntääkseen laillisia teknologioita. Kriittisen infrastruktuurin aloilla toimiville organisaatioille valppauden ylläpitäminen ja monikerroksisten tietoturvatoimien toteuttaminen on edelleen olennaista tällaisten edistyneiden uhkien vaikutusten lieventämiseksi.

 

Trendaavat

Eniten katsottu

Ladataan...