תוכנה זדונית OneClik
קמפיין סייבר מתוחכם בשם OneClik מכוון למגזרי האנרגיה, הנפט והגז באמצעות שילוב של שיטות פריסה מטעות ותוכנות זדוניות בהתאמה אישית. בלב המבצע הזה עומדת ניצול לרעה של טכנולוגיית ClickOnce של מיקרוסופט ודלת אחורית חזקה מבוססת גולאנג בשם RunnerBeacon. למרות שאינדיקטורים מצביעים על קשר אפשרי לגורמי איום סינים, הייחוס נותר מהוסס.
תוכן העניינים
ClickOnce: כלי פריסה דו-צדדי
ClickOnce של מיקרוסופט נועד לפשט את תהליך הפריסה והעדכון של יישומי Windows, ולאפשר התקנות עם אינטראקציה מינימלית של המשתמש. תכונה זו, שהוצגה ב-.NET Framework 2.0, מאפשרת לאפליקציות לפעול עם הרשאות מוגבלות מבלי לדרוש הרשאות ניהול.
למרבה הצער, נוחות זו הפכה את ClickOnce לנכס יקר ערך עבור פושעי סייבר. ניתן לפרוס יישומים זדוניים באמצעות קובץ בינארי מהימן של Windows (dfsvc.exe), המטפל באפליקציות ClickOnce. אפליקציות אלו מבוצעות כתהליך צאצא של dfsvc.exe, מה שמאפשר לתוקפים להריץ קוד זדוני בחשאי מבלי להפעיל אזעקות אבטחה או להזדקק להרשאות מוגברות.
טקטיקות חדירה: פישינג והונאה
שרשרת ההתקפה מתחילה במיילים של פישינג מעוצבים היטב, אשר מפתים קורבנות לאתר ניתוח חומרה מזויף. ברגע שהקורבן מבקר באתר, אפליקציית ClickOnce זדונית נשלחת ומופעלת באמצעות dfsvc.exe.
טוען זה מזריק קוד זדוני לזיכרון באמצעות שיטה המכונה הזרקת AppDomainManager, וכתוצאה מכך מופעלת קוד מעטפת מוצפן. המטען האולטימטיבי הוא RunnerBeacon, דלת אחורית מתוחכמת של Golang.
RunnerBeacon: שתל רב עוצמה ורב-תכליתי
דלת אחורית של RunnerBeacon בנויה לתמוך במגוון רחב של יכולות, כולל:
- תקשורת על פני פרוטוקולים מרובים: HTTP(S), WebSockets, TCP גולמי ו-SMB named pipes
- ביצוע פקודות מעטפת ופעולות מערכת קבצים
- ספירת תהליכים וסיום
- הסלמת הרשאות באמצעות גניבת אסימונים והתחזות
- תנועה רוחבית בתוך רשת
הוא כולל גם טכניקות מתקדמות נגד ניתוח נתונים והתחמקות, יחד עם תמיכה בפעולות ממוקדות רשת כמו סריקת פורטים, העברת פורטים ופרוקסי SOCKS5.
שיבוט של גיאקון?
ל-RunnerBeacon קווי דמיון חזקים לגרסאות Cobalt Strike מבוססות Go כמו Geacon, Geacon Plus ו-Geacon Pro. הוא משקף את מבני הפיקוד שלהם, תכונות התקשורת בין-פרוטוקולים וגמישות תפעולית. תכונות אלו מצביעות על כך ש-RunnerBeacon עשוי להיות מזלג מותאם אישית או מפותח של Geacon, שעבר שיפורים רבים כדי להשתלב בצורה חלקה בסביבות ענן.
איום מתפתח: התגלו מספר וריאנטים
חוקרי אבטחת סייבר זיהו שלושה גרסאות שונות של OneClik במרץ 2025 בלבד:
- v1a
- BPI-MDM
- v1d
כל גרסה כוללת שיפורים המשפרים את מערכות גילוי החמקנות והעקיפות. עם זאת, עקבות של RunnerBeacon התגלו כבר בספטמבר 2023 בחברה במגזר הנפט והגז של המזרח התיכון, דבר המצביע על פיתוח ובדיקות מתמשכות.
טכניקות וייחוס: מוכר אך לא אושר
השימוש בהזרקת AppDomainManager הוא טקטיקה מתועדת היטב ונצפה בעבר בקמפיינים קיברנטיים הקשורים לגורמי איום סינים וצפון קוריאנים. עם זאת, למרות הדמיון בטכניקה ובגישה, חוקרים לא הצליחו לייחס באופן חד משמעי את קמפיין OneClik לאף קבוצה ידועה.
מבחינת זיהוי סימני פגיעה, ארגונים צריכים להיות ערניים להודעות דוא"ל פישינג המכוונות נמענים לאתרי אינטרנט הונאה לניתוח חומרה, שכן אלו הן לרוב נקודות הכניסה הראשוניות להתקפה. דגל אדום נוסף הוא השימוש ביישומי ClickOnce המופעלים דרך תהליך dfsvc.exe, מה שעשוי להצביע על נוכחות של מטענים זדוניים. פריסה חשודה של טכניקות הזרקת AppDomainManager וחיבורים יוצאים לתשתית הנשלטת על ידי תוקף המתארחת ב-Amazon Web Services (AWS) גם הם אינדיקטורים חזקים לפגיעה.
כדי להתגונן מפני איומים כאלה, על ארגונים לשקול השבתה או ניטור מקרוב של פריסות ClickOnce, במיוחד בסביבות בסיכון גבוה. צוותי אבטחה צריכים לשים לב לתהליכי צאצא חריגים הנובעים מ-dfsvc.exe, אשר עלולים להעיד על פעילות זדונית. פריסת פתרונות לזיהוי ותגובה לנקודות קצה (EDR) יכולה לסייע בזיהוי ובמיתון התנהגויות הזרקת AppDomain. בנוסף, בדיקת תעבורת רשת לאיתור שימוש חריג בפרוטוקול, כגון התנהגות פרוקסי בלתי צפויה או ניסיונות העברת פורטים, יכולה לסייע בזיהוי ערוצי תקשורת סמויים.
מַסְקָנָה
קמפיין OneClik מדגיש כיצד יריבים משכללים ללא הרף את הטקטיקות שלהם כדי לנצל טכנולוגיות לגיטימיות. עבור ארגונים במגזרי תשתית קריטיים, שמירה על ערנות ויישום הגנות אבטחה רב-שכבתיות נותרות חיוניות במתן השפעתם של איומים מתקדמים כאלה.
