वनक्लिक मैलवेयर

वनक्लिक नामक एक परिष्कृत साइबर अभियान भ्रामक तैनाती विधियों और कस्टम-निर्मित मैलवेयर के मिश्रण का उपयोग करके ऊर्जा, तेल और गैस क्षेत्रों को लक्षित कर रहा है। इस ऑपरेशन के केंद्र में माइक्रोसॉफ्ट की क्लिकऑन्स तकनीक और रनरबीकन नामक एक शक्तिशाली गोलांग-आधारित बैकडोर का दुरुपयोग है। हालांकि संकेतक चीनी खतरे वाले अभिनेताओं के साथ संभावित संबंध का सुझाव देते हैं, लेकिन जिम्मेदारी अनिश्चित बनी हुई है।

ClickOnce: एक दोधारी परिनियोजन उपकरण

माइक्रोसॉफ्ट का क्लिकऑन विंडोज एप्लीकेशन की तैनाती और अपडेट प्रक्रिया को सरल बनाने के लिए डिज़ाइन किया गया है, जिससे न्यूनतम उपयोगकर्ता सहभागिता के साथ इंस्टॉलेशन की अनुमति मिलती है। .NET फ्रेमवर्क 2.0 में पेश किया गया, यह सुविधा प्रशासनिक अधिकारों की आवश्यकता के बिना सीमित अनुमतियों के साथ ऐप्स को चलाने में सक्षम बनाता है।

दुर्भाग्य से, इस सुविधा ने ClickOnce को साइबर अपराधियों के लिए एक मूल्यवान संपत्ति भी बना दिया है। दुर्भावनापूर्ण एप्लिकेशन को एक विश्वसनीय Windows बाइनरी (dfsvc.exe) का उपयोग करके तैनात किया जा सकता है, जो ClickOnce ऐप्स को संभालता है। इन ऐप्स को dfsvc.exe की चाइल्ड प्रोसेस के रूप में निष्पादित किया जाता है, जिससे हमलावरों को सुरक्षा अलार्म उठाए बिना या उन्नत विशेषाधिकारों की आवश्यकता के बिना चुपके से दुर्भावनापूर्ण कोड चलाने की अनुमति मिलती है।

घुसपैठ की रणनीति: फ़िशिंग और धोखाधड़ी

हमले की श्रृंखला अच्छी तरह से तैयार किए गए फ़िशिंग ईमेल से शुरू होती है जो पीड़ितों को एक नकली हार्डवेयर विश्लेषण साइट पर ले जाती है। एक बार जब पीड़ित साइट पर जाता है, तो एक दुर्भावनापूर्ण ClickOnce एप्लिकेशन डिलीवर किया जाता है और dfsvc.exe का उपयोग करके लॉन्च किया जाता है।

यह लोडर AppDomainManager इंजेक्शन नामक विधि का उपयोग करके मेमोरी में दुर्भावनापूर्ण कोड इंजेक्ट करता है, जिसके परिणामस्वरूप एन्क्रिप्टेड शेलकोड का निष्पादन होता है। अंतिम पेलोड RunnerBeacon है, जो एक परिष्कृत Golang बैकडोर है।

रनरबीकन: एक शक्तिशाली और बहुमुखी प्रत्यारोपण

रनरबीकन बैकडोर को कई प्रकार की क्षमताओं का समर्थन करने के लिए बनाया गया है, जिनमें शामिल हैं:

• एकाधिक प्रोटोकॉल पर संचार: HTTP(S), वेबसॉकेट, कच्चा TCP, और SMB नामित पाइप
• शेल कमांड और फ़ाइल सिस्टम संचालन का निष्पादन
• प्रक्रिया गणना और समाप्ति
• टोकन चोरी और छद्मवेश के माध्यम से विशेषाधिकार में वृद्धि
• नेटवर्क के भीतर पार्श्विक गतिविधि

इसमें उन्नत एंटी-एनालिसिस और इवेशन तकनीक के साथ-साथ पोर्ट स्कैनिंग, पोर्ट फॉरवर्डिंग और SOCKS5 प्रॉक्सीइंग जैसे नेटवर्क-केंद्रित संचालनों के लिए समर्थन भी शामिल है।

गीकॉन का क्लोन?

रनरबीकन में गो-आधारित कोबाल्ट स्ट्राइक वेरिएंट जैसे कि गीकॉन, गीकॉन प्लस और गीकॉन प्रो के साथ मजबूत समानताएं प्रदर्शित होती हैं। यह उनकी कमांड संरचनाओं, क्रॉस-प्रोटोकॉल संचार सुविधाओं और परिचालन लचीलेपन को दर्शाता है। ये विशेषताएं बताती हैं कि रनरबीकन गीकॉन का एक अनुकूलित या विकसित फोर्क हो सकता है, जिसे क्लाउड वातावरण में सहजता से घुलने-मिलने के लिए परिष्कृत किया गया है।

बढ़ता ख़तरा: कई वैरिएंट पाए गए

साइबर सुरक्षा शोधकर्ताओं ने अकेले मार्च 2025 में तीन अलग-अलग वनक्लिक वेरिएंट की पहचान की:

• वी1ए
• बीपीआई-एमडीएम
• वी1डी

प्रत्येक संस्करण में ऐसे सुधार शामिल हैं जो स्टील्थ और बाईपास डिटेक्शन सिस्टम को बढ़ाते हैं। हालाँकि, रनरबीकन के निशान सितंबर 2023 में मध्य पूर्व के तेल और गैस क्षेत्र की एक कंपनी में पहले ही खोजे जा चुके थे, जो चल रहे विकास और परीक्षण का संकेत देते हैं।

तकनीक और विशेषता: परिचित लेकिन अपुष्ट

AppDomainManager इंजेक्शन का उपयोग एक अच्छी तरह से प्रलेखित रणनीति है और इसे पहले चीनी और उत्तरी कोरियाई खतरे वाले अभिनेताओं से जुड़े साइबर अभियानों में देखा गया है। हालाँकि, तकनीक और दृष्टिकोण में समानताओं के बावजूद, शोधकर्ता OneClik अभियान को किसी ज्ञात समूह से जोड़ने में निर्णायक रूप से सक्षम नहीं हैं।

समझौता के संकेतों की पहचान करने के मामले में, संगठनों को फ़िशिंग ईमेल के प्रति सतर्क रहना चाहिए जो प्राप्तकर्ताओं को धोखाधड़ी वाले हार्डवेयर विश्लेषण वेबसाइटों पर ले जाते हैं, क्योंकि ये अक्सर हमले के लिए प्रारंभिक प्रवेश बिंदु होते हैं। एक और लाल झंडा dfsvc.exe प्रक्रिया के माध्यम से लॉन्च किए गए ClickOnce अनुप्रयोगों का उपयोग है, जो दुर्भावनापूर्ण पेलोड की उपस्थिति का संकेत दे सकता है। AppDomainManager इंजेक्शन तकनीकों की संदिग्ध तैनाती और Amazon Web Services (AWS) पर होस्ट किए गए हमलावर-नियंत्रित बुनियादी ढांचे के लिए आउटबाउंड कनेक्शन भी समझौता के मजबूत संकेतक हैं।

ऐसे खतरों से बचाव के लिए, उद्यमों को ClickOnce परिनियोजन को अक्षम करने या बारीकी से निगरानी करने पर विचार करना चाहिए, विशेष रूप से उच्च जोखिम वाले वातावरण में। सुरक्षा टीमों को dfsvc.exe से उत्पन्न असामान्य चाइल्ड प्रक्रियाओं पर नज़र रखनी चाहिए, जो दुर्भावनापूर्ण गतिविधि का संकेत दे सकती हैं। एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) समाधान तैनात करने से AppDomain इंजेक्शन व्यवहार की पहचान करने और उसे कम करने में मदद मिल सकती है। इसके अतिरिक्त, असामान्य प्रोटोकॉल उपयोग, जैसे कि अप्रत्याशित प्रॉक्सी व्यवहार या पोर्ट फ़ॉरवर्डिंग प्रयासों के लिए नेटवर्क ट्रैफ़िक की जाँच करना, गुप्त संचार चैनलों का पता लगाने में सहायता कर सकता है।

निष्कर्ष

वनक्लिक अभियान इस बात पर जोर देता है कि कैसे विरोधी वैध तकनीकों का फायदा उठाने के लिए अपनी रणनीति को लगातार परिष्कृत कर रहे हैं। महत्वपूर्ण बुनियादी ढाँचे वाले क्षेत्रों में संगठनों के लिए, सतर्क रुख बनाए रखना और बहु-स्तरीय सुरक्षा बचाव को लागू करना ऐसे उन्नत खतरों के प्रभाव को कम करने के लिए आवश्यक है।