Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver OneClik

Zlonamjerni softver OneClik

Do Mezo. Malware. godine
Prevedi na:

Sofisticirana kibernetička kampanja nazvana OneClik cilja energetski, naftni i plinski sektor koristeći kombinaciju obmanjujućih metoda implementacije i posebno izrađenog zlonamjernog softvera. U središtu ove operacije je zlouporaba Microsoftove ClickOnce tehnologije i moćnog Golang backdoora pod nazivom RunnerBeacon. Iako pokazatelji sugeriraju moguću vezu s kineskim prijetnjama, atribucija ostaje nesigurna.

ClickOnce: Dvosjekli alat za implementaciju

Microsoftov ClickOnce osmišljen je kako bi pojednostavio proces implementacije i ažuriranja Windows aplikacija, omogućujući instalacije s minimalnom interakcijom korisnika. Uvedena u .NET Frameworku 2.0, ova značajka omogućuje aplikacijama pokretanje s ograničenim dozvolama bez potrebe za administratorskim pravima.

Nažalost, ova pogodnost učinila je ClickOnce vrijednom imovinom za kibernetičke kriminalce. Zlonamjerne aplikacije mogu se implementirati pomoću pouzdane Windows binarne datoteke (dfsvc.exe), koja obrađuje ClickOnce aplikacije. Ove se aplikacije izvršavaju kao podređeni proces dfsvc.exe, što napadačima omogućuje prikriveno pokretanje zlonamjernog koda bez podizanja sigurnosnih alarma ili potrebe za povišenim privilegijama.

Taktike infiltracije: Phishing i obmana

Lanac napada započinje dobro osmišljenim phishing e-porukama koje mame žrtve na lažnu stranicu za analizu hardvera. Nakon što žrtva posjeti stranicu, zlonamjerna ClickOnce aplikacija se isporučuje i pokreće pomoću dfsvc.exe.

Ovaj program za učitavanje ubrizgava zlonamjerni kod u memoriju pomoću metode poznate kao AppDomainManager injection, što rezultira izvršavanjem šifriranog shellcode-a. Ultimativni korisni teret je RunnerBeacon, sofisticirani Golang backdoor.

RunnerBeacon: Moćan i svestran implantat

Stražnja vrata RunnerBeacon izgrađena su za podršku širokog raspona mogućnosti, uključujući:

  • Komunikacija putem više protokola: HTTP(S), WebSockets, raw TCP i SMB imenovane cijevi
  • Izvršavanje shell naredbi i operacija datotečnog sustava
  • Nabrajanje i završavanje procesa
  • Eskalacija privilegija putem krađe tokena i lažnog predstavljanja
  • Lateralno kretanje unutar mreže

Također sadrži napredne tehnike anti-analize i izbjegavanja, uz podršku za mrežno-centrične operacije poput skeniranja portova, prosljeđivanja portova i SOCKS5 proxyinga.

Klon Geacona?

RunnerBeacon pokazuje velike sličnosti s varijantama Cobalt Strikea temeljenim na Gou, kao što su Geacon, Geacon Plus i Geacon Pro. Odražava njihove naredbene strukture, značajke komunikacije između protokola i operativnu fleksibilnost. Ove osobine sugeriraju da bi RunnerBeacon mogao biti prilagođena ili evoluirana fork Geacona, usavršena kako bi se besprijekorno uklopila u okruženja u oblaku.

Prijetnja u razvoju: Otkriveno više varijanti

Istraživači kibernetičke sigurnosti identificirali su tri različite varijante OneClika samo u ožujku 2025.:

  • v1a
  • BPI-MDM
  • v1d

Svaka verzija uključuje poboljšanja koja poboljšavaju prikrivenost i zaobilaženje sustava za detekciju. Međutim, tragovi RunnerBeacona otkriveni su već u rujnu 2023. u tvrtki u naftnom i plinskom sektoru Bliskog istoka, što ukazuje na kontinuirani razvoj i testiranje.

Tehnike i atribucija: Poznato, ali nepotvrđeno

Korištenje injekcije AppDomainManagera dobro je dokumentirana taktika i prethodno je uočena u kibernetičkim kampanjama povezanim s kineskim i sjevernokorejskim akterima prijetnji. Međutim, unatoč sličnostima u tehnici i pristupu, istraživači nisu uspjeli sa sigurnošću pripisati kampanju OneClik nijednoj poznatoj skupini.

Što se tiče prepoznavanja znakova kompromitacije, organizacije bi trebale biti na oprezu zbog phishing e-poruka koje usmjeravaju primatelje na lažne web stranice za analizu hardvera, jer su to često početne ulazne točke za napad. Još jedna crvena zastavica je korištenje ClickOnce aplikacija pokrenutih putem procesa dfsvc.exe, što može ukazivati na prisutnost zlonamjernih sadržaja. Sumnjivo postavljanje tehnika ubrizgavanja AppDomainManagera i odlazne veze s infrastrukturom koju kontrolira napadač, a koja se nalazi na Amazon Web Services (AWS), također su snažni pokazatelji kompromitacije.

Kako bi se obranila od takvih prijetnji, poduzeća bi trebala razmotriti onemogućavanje ili pomno praćenje implementacija ClickOncea, posebno u okruženjima visokog rizika. Sigurnosni timovi trebali bi paziti na anomalne podprocese koji proizlaze iz dfsvc.exe, što bi moglo signalizirati zlonamjernu aktivnost. Implementacija rješenja za otkrivanje i odgovor na krajnje točke (EDR) može pomoći u identificiranju i ublažavanju ponašanja ubrizgavanja AppDomaina. Osim toga, ispitivanje mrežnog prometa za neobičnu upotrebu protokola, kao što je neočekivano ponašanje proxyja ili pokušaji prosljeđivanja portova, može pomoći u otkrivanju tajnih komunikacijskih kanala.

Zaključak

Kampanja OneClik naglašava kako protivnici kontinuirano usavršavaju svoje taktike za iskorištavanje legitimnih tehnologija. Za organizacije unutar sektora kritične infrastrukture, održavanje budnosti i provedba višeslojne sigurnosne obrane ostaje ključno za ublažavanje utjecaja takvih naprednih prijetnji.

 

U trendu

Nagledanije

Učitavam...