Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra OneClik ļaunprogrammatūra

OneClik ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Sarežģīta kiberkampaņa ar nosaukumu OneClik ir vērsta pret enerģētikas, naftas un gāzes sektoriem, izmantojot maldinošu izvietošanas metožu un pielāgotas ļaunprogrammatūras apvienojumu. Šīs operācijas centrā ir Microsoft ClickOnce tehnoloģijas un jaudīgas Golang bāzes aizmugurējās durvis ar nosaukumu RunnerBeacon ļaunprātīga izmantošana. Lai gan indikatori liecina par iespējamu saistību ar Ķīnas apdraudējumu dalībniekiem, attiecināšana joprojām ir provizoriska.

ClickOnce: divējāds izvietošanas rīks

Microsoft ClickOnce ir izstrādāta, lai vienkāršotu Windows lietojumprogrammu izvietošanas un atjaunināšanas procesu, nodrošinot instalēšanu ar minimālu lietotāja mijiedarbību. Šī funkcija, kas tika ieviesta .NET Framework 2.0, ļauj lietotnēm darboties ar ierobežotām atļaujām, nepieprasot administratora tiesības.

Diemžēl šī ērtība ir padarījusi ClickOnce par vērtīgu resursu arī kibernoziedzniekiem. Ļaunprātīgas lietojumprogrammas var izvietot, izmantojot uzticamu Windows bināro failu (dfsvc.exe), kas apstrādā ClickOnce lietotnes. Šīs lietotnes tiek izpildītas kā dfsvc.exe bērnprocess, ļaujot uzbrucējiem nemanāmi palaist ļaunprātīgu kodu, neizraisot drošības trauksmes signālus vai nepieprasot paaugstinātas privilēģijas.

Infiltrācijas taktika: pikšķerēšana un maldināšana

Uzbrukumu ķēde sākas ar labi izstrādātiem pikšķerēšanas e-pastiem, kas pievilina upurus uz viltotu aparatūras analīzes vietni. Kad upuris apmeklē vietni, tiek piegādāta un, izmantojot dfsvc.exe, palaista ļaunprātīga ClickOnce lietojumprogramma.

Šis ielādētājs ievada atmiņā ļaunprātīgu kodu, izmantojot metodi, kas pazīstama kā AppDomainManager injekcija, kā rezultātā tiek izpildīts šifrēts apvalka kods. Galīgā slodze ir RunnerBeacon — sarežģīta Golang aizmugures durvis.

RunnerBeacon: jaudīgs un daudzpusīgs implants

RunnerBeacon aizmugurējā durvju sistēma ir veidota, lai atbalstītu plašu iespēju klāstu, tostarp:

  • Saziņa, izmantojot vairākus protokolus: HTTP(S), WebSockets, neapstrādātu TCP un SMB nosauktos cauruļvadus
  • Čaulas komandu un failu sistēmas darbību izpilde
  • Procesa uzskaitīšana un pārtraukšana
  • Privilēģiju eskalācija, izmantojot žetonu zādzību un personības uzdošanos
  • Sānu kustība tīklā

Tam ir arī uzlabotas antianalīzes un apiešanas metodes, kā arī atbalsts tīklam orientētām darbībām, piemēram, portu skenēšanai, portu pāradresācijai un SOCKS5 starpniekservera izmantošanai.

Gīkona klons?

RunnerBeacon uzrāda spēcīgas līdzības ar Go bāzes Cobalt Strike variantiem, piemēram, Geacon, Geacon Plus un Geacon Pro. Tas atspoguļo to komandu struktūras, starpprotokolu komunikācijas funkcijas un darbības elastību. Šīs iezīmes liecina, ka RunnerBeacon varētu būt pielāgots vai attīstīts Geacon atvasinājums, kas uzlabots, lai nemanāmi iekļautos mākoņvidē.

Mainīgs drauds: atklāti vairāki varianti

Kiberdrošības pētnieki tikai 2025. gada martā identificēja trīs atšķirīgus OneClik variantus:

  • 1. versija
  • BPI-MDM
  • 1. versija

Katrā versijā ir iekļauti uzlabojumi, kas uzlabo maskēšanās un apiešanas noteikšanas sistēmas. Tomēr RunnerBeacon pēdas jau 2023. gada septembrī tika atklātas kādā Tuvo Austrumu naftas un gāzes nozares uzņēmumā, kas norāda uz notiekošu izstrādi un testēšanu.

Metodes un attiecinājums: Pazīstamas, bet neapstiprinātas

AppDomainManager injekcijas izmantošana ir labi dokumentēta taktika, un tā iepriekš ir novērota kiberkampaņās, kas saistītas ar Ķīnas un Ziemeļkorejas apdraudējumu dalībniekiem. Tomēr, neskatoties uz tehnikas un pieejas līdzībām, pētnieki nav spējuši pārliecinoši piedēvēt OneClik kampaņu nevienai zināmai grupai.

Runājot par kompromitēšanas pazīmju identificēšanu, organizācijām jābūt modrām attiecībā uz pikšķerēšanas e-pastiem, kas adresātus novirza uz krāpnieciskām aparatūras analīzes vietnēm, jo tās bieži vien ir sākotnējie uzbrukuma ieejas punkti. Vēl viena brīdinoša zīme ir ClickOnce lietojumprogrammu izmantošana, kas palaistas, izmantojot dfsvc.exe procesu, kas var liecināt par ļaunprātīgu slodzi. Aizdomīga AppDomainManager injekcijas metožu izvietošana un izejošie savienojumi ar uzbrucēja kontrolētu infrastruktūru, kas tiek mitināta Amazon Web Services (AWS), arī ir spēcīgi kompromitēšanas rādītāji.

Lai aizsargātos pret šādiem draudiem, uzņēmumiem jāapsver ClickOnce izvietojumu atspējošana vai rūpīga uzraudzība, īpaši augsta riska vidēs. Drošības komandām jāuzrauga anomāli bērnu procesi, kas izriet no dfsvc.exe un kas varētu liecināt par ļaunprātīgu darbību. Galapunktu noteikšanas un reaģēšanas (EDR) risinājumu izvietošana var palīdzēt identificēt un mazināt AppDomain injekcijas uzvedību. Turklāt tīkla datplūsmas pārbaude, lai noteiktu neparastu protokolu lietojumu, piemēram, negaidītu starpniekservera darbību vai portu pāradresācijas mēģinājumus, var palīdzēt atklāt slēptus saziņas kanālus.

Secinājums

OneClik kampaņa uzsver, kā pretinieki nepārtraukti pilnveido savu taktiku, lai izmantotu likumīgas tehnoloģijas. Organizācijām kritiskās infrastruktūras sektoros modrības saglabāšana un daudzslāņu drošības aizsardzības ieviešana joprojām ir būtiska, lai mazinātu šādu progresīvu apdraudējumu ietekmi.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,279
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...