Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „OneClik“ kenkėjiška programa

„OneClik“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa
Versti į:

Sudėtinga kibernetinė kampanija, pavadinta „OneClik“, taikosi į energetikos, naftos ir dujų sektorius, naudodama apgaulingų diegimo metodų ir specialiai sukurtos kenkėjiškos programinės įrangos derinį. Šios operacijos centre – piktnaudžiavimas „Microsoft ClickOnce“ technologija ir galinga „Golang“ pagrindu sukurta užpakalinių durų sistema „RunnerBeacon“. Nors požymiai rodo galimą ryšį su Kinijos grėsmės veikėjais, priskyrimas tebėra neaiškus.

„ClickOnce“: dvipusis diegimo įrankis

„Microsoft“ „ClickOnce“ sukurta siekiant supaprastinti „Windows“ programų diegimo ir atnaujinimo procesą, leidžiant diegti programas su minimaliu vartotojo įsikišimu. Ši funkcija, pristatyta „.NET Framework 2.0“, leidžia programoms veikti su ribotais leidimais, nereikalaujant administratoriaus teisių.

Deja, dėl šio patogumo „ClickOnce“ tapo vertingu kibernetinių nusikaltėlių privalumu. Kenkėjiškas programas galima diegti naudojant patikimą „Windows“ dvejetainį failą (dfsvc.exe), kuris tvarko „ClickOnce“ programas. Šios programos vykdomos kaip „dfsvc.exe“ antrinis procesas, leidžiantis užpuolikams slapta paleisti kenkėjišką kodą nesukeliant saugos signalizacijos ar nereikalaujant padidintų teisių.

Infiltracijos taktika: sukčiavimas ir apgaulė

Atakų grandinė prasideda nuo kruopščiai parengtų sukčiavimo el. laiškų, kurie vilioja aukas į netikrą aparatinės įrangos analizės svetainę. Kai auka apsilanko svetainėje, pateikiama kenkėjiška „ClickOnce“ programa ir paleidžiama naudojant dfsvc.exe.

Šis krautuvas į atmintį įterpia kenkėjišką kodą, naudodamas metodą, vadinamą „AppDomainManager“ injekcija, todėl vykdomas užšifruotas apvalkalo kodas. Galutinis naudingasis krovinys yra „RunnerBeacon“ – sudėtingas „Golang“ galinis durų įrankis.

„RunnerBeacon“: galingas ir universalus implantas

„RunnerBeacon“ galinės durys sukurtos taip, kad palaikytų platų funkcijų spektrą, įskaitant:

  • Ryšys per kelis protokolus: HTTP(S), „WebSockets“, neapdorotus TCP ir SMB įvardytus vamzdžius
  • Apvalkalo komandų ir failų sistemos operacijų vykdymas
  • Proceso išvardijimas ir nutraukimas
  • Privilegijų eskalavimas per žetonų vagystę ir apsimetinėjimą kitu asmeniu
  • Šoninis judėjimas tinkle

Jame taip pat yra pažangios antianalizės ir apėjimo technologijos, taip pat palaikomos tinklo operacijos, tokios kaip prievadų nuskaitymas, prievadų peradresavimas ir SOCKS5 tarpinis serveris.

Geacono klonas?

„RunnerBeacon“ pasižymi dideliais panašumais į „Go“ pagrindu sukurtus „Cobalt Strike“ variantus, tokius kaip „Geacon“, „Geacon Plus“ ir „Geacon Pro“. Jis atspindi jų komandų struktūras, tarpprotokolinio ryšio funkcijas ir operacinį lankstumą. Šie bruožai rodo, kad „RunnerBeacon“ gali būti pritaikyta arba patobulinta „Geacon“ atšaka, patobulinta, kad sklandžiai įsilietų į debesijos aplinkas.

Besivystanti grėsmė: aptikti keli variantai

Vien 2025 m. kovo mėn. kibernetinio saugumo tyrėjai nustatė tris skirtingus „OneClik“ variantus:

  • v1a
  • BPI-MDM
  • v1d

Kiekvienoje versijoje yra patobulinimų, kurie pagerina slaptumo ir apėjimo aptikimo sistemas. Tačiau „RunnerBeacon“ pėdsakų jau buvo aptikta 2023 m. rugsėjį vienoje Artimųjų Rytų naftos ir dujų sektoriaus įmonėje, o tai rodo, kad sistema toliau tobulinama ir testuojama.

Metodai ir priskyrimas: pažįstami, bet nepatvirtinti

„AppDomainManager“ injekcijos naudojimas yra gerai dokumentuota taktika, anksčiau pastebėta kibernetinėse kampanijose, susijusiose su Kinijos ir Šiaurės Korėjos grėsmės veikėjais. Tačiau, nepaisant technikos ir požiūrio panašumų, tyrėjai negalėjo galutinai priskirti „OneClik“ kampanijos jokiai žinomai grupuotei.

Kalbant apie įsilaužimo požymių atpažinimą, organizacijos turėtų būti budrios dėl sukčiavimo el. laiškų, kurie nukreipia gavėjus į apgaulingas aparatinės įrangos analizės svetaines, nes tai dažnai yra pradiniai atakos taškai. Kitas pavojaus signalas yra „ClickOnce“ programų, paleidžiamų per dfsvc.exe procesą, naudojimas, kuris gali rodyti kenkėjiškų duomenų buvimą. Įtartinas „AppDomainManager“ injekcijos technikų diegimas ir išeinantys ryšiai su užpuoliko kontroliuojama infrastruktūra, talpinama „Amazon Web Services“ (AWS), taip pat yra stiprūs įsilaužimo rodikliai.

Siekdamos apsisaugoti nuo tokių grėsmių, įmonės turėtų apsvarstyti galimybę išjungti arba atidžiai stebėti „ClickOnce“ diegimus, ypač didelės rizikos aplinkoje. Saugumo komandos turėtų stebėti anomalius antrinius procesus, kylančius iš dfsvc.exe, kurie galėtų signalizuoti apie kenkėjišką veiklą. Galinių taškų aptikimo ir reagavimo (EDR) sprendimų diegimas gali padėti nustatyti ir sušvelninti programų domeno injekcijos elgseną. Be to, tinklo srauto tyrimas dėl neįprasto protokolų naudojimo, pvz., netikėto tarpinio serverio elgesio ar prievadų peradresavimo bandymų, gali padėti aptikti slaptus ryšio kanalus.

Išvada

„OneClik“ kampanija pabrėžia, kaip priešininkai nuolat tobulina savo taktiką, kad išnaudotų teisėtas technologijas. Organizacijoms, veikiančioms kritinės infrastruktūros sektoriuose, budrumas ir daugiasluoksnės apsaugos įgyvendinimas išlieka labai svarbūs siekiant sušvelninti tokių pažangių grėsmių poveikį.


Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,279
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...