Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad OneClik Malware

OneClik Malware

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Kempen siber canggih yang digelar OneClik menyasarkan sektor tenaga, minyak dan gas menggunakan gabungan kaedah penggunaan yang mengelirukan dan perisian hasad tersuai. Di tengah-tengah operasi ini ialah penyalahgunaan teknologi ClickOnce Microsoft dan pintu belakang berasaskan Golang yang berkuasa bernama RunnerBeacon. Walaupun penunjuk mencadangkan kemungkinan pautan kepada pelaku ancaman China, atribusi kekal tentatif.

ClickOnce: Alat Penggunaan Bermata Dua

ClickOnce Microsoft direka untuk memudahkan proses penempatan dan kemas kini aplikasi Windows, membenarkan pemasangan dengan interaksi pengguna yang minimum. Diperkenalkan dalam .NET Framework 2.0, ciri ini membolehkan apl berjalan dengan kebenaran terhad tanpa memerlukan hak pentadbiran.

Malangnya, kemudahan ini juga telah menjadikan ClickOnce sebagai aset berharga untuk penjenayah siber. Aplikasi hasad boleh digunakan menggunakan binari Windows yang dipercayai (dfsvc.exe), yang mengendalikan aplikasi ClickOnce. Apl ini dilaksanakan sebagai proses kanak-kanak dfsvc.exe, membenarkan penyerang menjalankan kod hasad secara senyap-senyap tanpa menimbulkan penggera keselamatan atau memerlukan keistimewaan yang tinggi.

Taktik Penyusupan: Pancingan data dan Penipuan

Rantaian serangan bermula dengan e-mel pancingan data yang direka dengan baik yang menarik mangsa ke tapak analisis perkakasan palsu. Sebaik sahaja mangsa melawat tapak, aplikasi ClickOnce yang berniat jahat dihantar dan dilancarkan menggunakan dfsvc.exe.

Pemuat ini menyuntik kod berniat jahat ke dalam memori menggunakan kaedah yang dikenali sebagai suntikan AppDomainManager, menghasilkan pelaksanaan kod cengkerang yang disulitkan. Muatan muktamad ialah RunnerBeacon, pintu belakang Golang yang canggih.

RunnerBeacon: Implan Berkuasa dan Serbaguna

Pintu belakang RunnerBeacon dibina untuk menyokong pelbagai keupayaan, termasuk:

  • Komunikasi melalui berbilang protokol: HTTP(S), WebSockets, TCP mentah dan paip bernama SMB
  • Pelaksanaan perintah shell dan operasi sistem fail
  • Proses penghitungan dan penamatan
  • Peningkatan keistimewaan melalui kecurian token dan penyamaran
  • Pergerakan sisi dalam rangkaian

Ia juga menampilkan teknik anti-analisis dan pengelakan lanjutan, bersama-sama dengan sokongan untuk operasi tertumpu rangkaian seperti pengimbasan port, pemajuan port dan proksi SOCKS5.

Klon Geacon?

RunnerBeacon mempamerkan persamaan yang kukuh dengan varian Cobalt Strike berasaskan Go seperti Geacon, Geacon Plus dan Geacon Pro. Ia mencerminkan struktur arahan mereka, ciri komunikasi silang protokol, dan fleksibiliti operasi. Ciri-ciri ini menunjukkan bahawa RunnerBeacon mungkin merupakan garpu Geacon yang disesuaikan atau berkembang, diperhalusi untuk menggabungkan dengan lancar ke dalam persekitaran awan.

Ancaman Berkembang: Pelbagai Varian Dikesan

Penyelidik keselamatan siber mengenal pasti tiga varian OneClik yang berbeza pada Mac 2025 sahaja:

  • v1a
  • BPI-MDM
  • v1d

Setiap versi termasuk penambahbaikan yang meningkatkan sistem pengesanan siluman dan pintasan. Walau bagaimanapun, kesan RunnerBeacon telah ditemui pada September 2023 di sebuah syarikat dalam sektor minyak dan gas Timur Tengah, menunjukkan pembangunan dan ujian yang sedang dijalankan.

Teknik dan Atribusi: Biasa tetapi Tidak Disahkan

Penggunaan suntikan AppDomainManager ialah taktik yang didokumentasikan dengan baik dan sebelum ini diperhatikan dalam kempen siber yang dikaitkan dengan pelakon ancaman China dan Korea Utara. Walau bagaimanapun, walaupun terdapat persamaan dalam teknik dan pendekatan, penyelidik tidak dapat mengaitkan kempen OneClik secara konklusif kepada mana-mana kumpulan yang diketahui.

Dari segi mengenal pasti tanda-tanda kompromi, organisasi harus berwaspada terhadap e-mel pancingan data yang mengarahkan penerima ke laman web analisis perkakasan yang menipu, kerana ini selalunya merupakan pintu masuk awal untuk serangan itu. Satu lagi bendera merah ialah penggunaan aplikasi ClickOnce yang dilancarkan melalui proses dfsvc.exe, yang mungkin menunjukkan kehadiran muatan berniat jahat. Penggunaan teknik suntikan AppDomainManager yang mencurigakan dan sambungan keluar ke infrastruktur dikawal penyerang yang dihoskan pada Perkhidmatan Web Amazon (AWS) juga merupakan petunjuk kompromi yang kukuh.

Untuk mempertahankan daripada ancaman sedemikian, perusahaan harus mempertimbangkan untuk melumpuhkan atau memantau dengan teliti penggunaan ClickOnce, terutamanya dalam persekitaran berisiko tinggi. Pasukan keselamatan harus memerhatikan proses anak anomali yang berpunca daripada dfsvc.exe, yang boleh menandakan aktiviti berniat jahat. Menggunakan penyelesaian pengesanan dan tindak balas titik akhir (EDR) boleh membantu dalam mengenal pasti dan mengurangkan gelagat suntikan AppDomain. Selain itu, memeriksa trafik rangkaian untuk penggunaan protokol yang luar biasa, seperti tingkah laku proksi yang tidak dijangka atau percubaan pemajuan port, boleh membantu dalam mengesan saluran komunikasi rahsia.

Kesimpulan

Kempen OneClik menggariskan bagaimana musuh terus memperhalusi taktik mereka untuk mengeksploitasi teknologi yang sah. Bagi organisasi dalam sektor infrastruktur kritikal, mengekalkan postur berwaspada dan melaksanakan pertahanan keselamatan berbilang lapisan kekal penting dalam mengurangkan kesan ancaman lanjutan tersebut.


Trending

Paling banyak dilihat

Memuatkan...