OneClik kártevő

Egy kifinomult, OneClik névre keresztelt kiberkampány az energia-, olaj- és gázszektort veszi célba megtévesztő telepítési módszerek és egyedi fejlesztésű rosszindulatú programok keverékével. A művelet középpontjában a Microsoft ClickOnce technológiájának és egy hatékony, Golang-alapú, RunnerBeacon nevű hátsó ajtónak a visszaélése áll. Bár a jelek arra utalnak, hogy a támadások kínai fenyegető szereplőkkel hozhatók összefüggésbe, a becsapás oka továbbra is bizonytalan.

ClickOnce: Kétélű telepítési eszköz

A Microsoft ClickOnce funkciója a Windows alkalmazások telepítési és frissítési folyamatának egyszerűsítésére szolgál, minimális felhasználói beavatkozással lehetővé téve a telepítést. A .NET Framework 2.0-ban bevezetett funkció lehetővé teszi az alkalmazások korlátozott engedélyekkel történő futtatását rendszergazdai jogok nélkül.

Sajnos ez a kényelem a ClickOnce-t értékes eszközzé tette a kiberbűnözők számára is. A rosszindulatú alkalmazások egy megbízható Windows bináris fájl (dfsvc.exe) segítségével telepíthetők, amely a ClickOnce alkalmazásokat kezeli. Ezek az alkalmazások a dfsvc.exe gyermekfolyamataként futnak, lehetővé téve a támadók számára, hogy biztonsági riasztások kiváltása vagy emelt szintű jogosultságok beszerzése nélkül, észrevétlenül futtassanak rosszindulatú kódot.

Beszivárgási taktikák: adathalászat és megtévesztés

A támadási lánc jól megfogalmazott adathalász e-mailekkel kezdődik, amelyek egy hamis hardverelemző oldalra csábítják az áldozatokat. Amint az áldozat meglátogatja az oldalt, egy rosszindulatú ClickOnce alkalmazás érkezik és indul el a dfsvc.exe segítségével.

Ez a betöltő kártékony kódot juttat a memóriába az AppDomainManager injektálás néven ismert módszerrel, ami egy titkosított shellkód végrehajtását eredményezi. A végső hasznos teher a RunnerBeacon, egy kifinomult Golang hátsó ajtó.

RunnerBeacon: Egy hatékony és sokoldalú implantátum

A RunnerBeacon hátsó ajtót úgy tervezték, hogy széleskörű képességeket támogasson, beleértve:

• Kommunikáció több protokollon keresztül: HTTP(S), WebSockets, nyers TCP és SMB named pipe-ok
• Shell parancsok és fájlrendszeri műveletek végrehajtása
• Folyamatfelsorolás és leállítás
• Privilégiumok eszkalációja tokenlopás és megszemélyesítés révén
• Oldalirányú mozgás egy hálózaton belül

Fejlett anti-analízis és kijátszási technikákat is tartalmaz, valamint támogatja a hálózatközpontú műveleteket, mint például a portszkennelést, a porttovábbítást és a SOCKS5 proxyt.

Geacon klónja?

A RunnerBeacon erős hasonlóságokat mutat a Go-alapú Cobalt Strike variánsokkal, mint például a Geacon, a Geacon Plus és a Geacon Pro. Tükrözi azok parancsstruktúráját, protokollközi kommunikációs funkcióit és működési rugalmasságát. Ezek a tulajdonságok arra utalnak, hogy a RunnerBeacon a Geacon testreszabott vagy továbbfejlesztett elágazása lehet, amelyet finomítottak, hogy zökkenőmentesen illeszkedjen a felhőkörnyezetekbe.

Fejlődő fenyegetés: Több változatot észleltek

Kiberbiztonsági kutatók csak 2025 márciusában három különálló OneClik variánst azonosítottak:

• v1a
• BPI-MDM
• v1d

Minden verzió olyan finomításokat tartalmaz, amelyek fokozzák a lopakodó és megkerülő érzékelő rendszereket. A RunnerBeacon nyomaira azonban már 2023 szeptemberében is bukkantak egy közel-keleti olaj- és gázipari vállalatnál, ami a folyamatos fejlesztésre és tesztelésre utal.

Technikák és attribúció: Ismerős, de nem megerősített

Az AppDomainManager injekció használata egy jól dokumentált taktika, amelyet korábban kínai és észak-koreai fenyegető szereplőkhöz kapcsolódó kiberkampányokban is megfigyeltek. A technika és a megközelítés hasonlóságai ellenére a kutatók azonban nem tudták meggyőzően megállapítani, hogy a OneClik kampány felelős-e egyetlen ismert csoporthoz sem.

A behatolás jeleinek azonosítása tekintetében a szervezeteknek figyelniük kell az olyan adathalász e-mailekre, amelyek a címzetteket csalárd hardverelemző webhelyekre irányítják, mivel ezek gyakran a támadás kezdeti belépési pontjai. Egy másik vészjelzés a dfsvc.exe folyamaton keresztül indított ClickOnce alkalmazások használata, amely rosszindulatú hasznos fájlok jelenlétére utalhat. Az AppDomainManager injekciós technikák gyanús telepítése és a támadó által ellenőrzött, az Amazon Web Services-en (AWS) üzemeltetett infrastruktúrához kimenő kapcsolatok szintén a behatolás erős jelei.

Az ilyen fenyegetések elleni védekezés érdekében a vállalatoknak fontolóra kell venniük a ClickOnce telepítések letiltását vagy szoros megfigyelését, különösen a magas kockázatú környezetekben. A biztonsági csapatoknak figyelniük kell a dfsvc.exe fájlból származó rendellenes gyermekfolyamatokra, amelyek rosszindulatú tevékenységre utalhatnak. A végpont-észlelési és -válaszolási (EDR) megoldások telepítése segíthet az AppDomain injektálási viselkedések azonosításában és enyhítésében. Ezenkívül a hálózati forgalom szokatlan protokollhasználat, például váratlan proxy viselkedés vagy porttovábbítási kísérletek vizsgálata segíthet a titkos kommunikációs csatornák észlelésében.

Következtetés

A OneClik kampány rávilágít arra, hogy a támadók hogyan finomítják folyamatosan taktikáikat a legitim technológiák kihasználása érdekében. A kritikus infrastrukturális szektorokban működő szervezetek számára továbbra is elengedhetetlen az éberség fenntartása és a többrétegű biztonsági védelem bevezetése az ilyen fejlett fenyegetések hatásának enyhítése érdekében.