Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare OneClik-skadevare

OneClik-skadevare

Med Mezo i Skadelig programvare
Oversett til:

En sofistikert cyberkampanje kalt OneClik retter seg mot energi-, olje- og gasssektorene ved hjelp av en blanding av villedende distribusjonsmetoder og spesialbygd skadelig programvare. Kjernen i denne operasjonen er misbruk av Microsofts ClickOnce-teknologi og en kraftig Golang-basert bakdør kalt RunnerBeacon. Selv om indikatorer tyder på en mulig kobling til kinesiske trusselaktører, er det fortsatt uklart hvorvidt dette kan tilskrives.

ClickOnce: Et tveegget distribusjonsverktøy

Microsofts ClickOnce er utviklet for å forenkle distribusjons- og oppdateringsprosessen for Windows-applikasjoner, slik at installasjoner kan utføres med minimal brukerinteraksjon. Denne funksjonen, som ble introdusert i .NET Framework 2.0, lar apper kjøre med begrensede tillatelser uten å kreve administratorrettigheter.

Dessverre har denne bekvemmeligheten også gjort ClickOnce til en verdifull ressurs for nettkriminelle. Ondsinnede applikasjoner kan distribueres ved hjelp av en pålitelig Windows-binærfil (dfsvc.exe), som håndterer ClickOnce-apper. Disse appene kjøres som en underprosess av dfsvc.exe, slik at angripere kan kjøre ondsinnet kode i det skjulte uten å utløse sikkerhetsalarmer eller trenge utvidede rettigheter.

Infiltrasjonstaktikker: Phishing og bedrag

Angrepskjeden starter med velutformede phishing-e-poster som lokker ofre til et falskt nettsted for maskinvareanalyse. Når offeret besøker nettstedet, leveres og startes et ondsinnet ClickOnce-program ved hjelp av dfsvc.exe.

Denne lasteren injiserer ondsinnet kode i minnet ved hjelp av en metode kjent som AppDomainManager-injeksjon, noe som resulterer i utførelse av en kryptert skallkode. Den ultimate nyttelasten er RunnerBeacon, en sofistikert Golang-bakdør.

RunnerBeacon: Et kraftig og allsidig implantat

RunnerBeacon-bakdøren er bygget for å støtte et bredt spekter av funksjoner, inkludert:

  • Kommunikasjon over flere protokoller: HTTP(S), WebSockets, rå TCP og SMB-navngitte piper
  • Utførelse av skallkommandoer og filsystemoperasjoner
  • Prosessopplisting og avslutning
  • Opptrapping av privilegier via tokentyveri og etterligning av identitet
  • Lateral bevegelse innenfor et nettverk

Den har også avanserte antianalyse- og unnvikelsesteknikker, samt støtte for nettverkssentriske operasjoner som portskanning, portvideresending og SOCKS5-proxying.

En klon av Geacon?

RunnerBeacon viser sterke likheter med Go-baserte Cobalt Strike-varianter som Geacon, Geacon Plus og Geacon Pro. Den speiler kommandostrukturene, funksjonene for kommunikasjon på tvers av protokoller og den operative fleksibiliteten. Disse egenskapene antyder at RunnerBeacon kan være en tilpasset eller videreutviklet forgrening av Geacon, raffinert for å gli sømløst inn i skymiljøer.

Utviklende trussel: Flere varianter oppdaget

Forskere innen nettsikkerhet identifiserte tre forskjellige OneClik-varianter bare i mars 2025:

  • v1a
  • BPI-MDM
  • v1d

Hver versjon inkluderer forbedringer som forbedrer systemer for stealth- og bypass-deteksjon. Spor av RunnerBeacon ble imidlertid allerede oppdaget i september 2023 hos et selskap i olje- og gasssektoren i Midtøsten, noe som indikerer pågående utvikling og testing.

Teknikker og attribusjon: Kjent, men ubekreftet

Bruken av AppDomainManager-injeksjon er en veldokumentert taktikk og har tidligere blitt observert i cyberkampanjer assosiert med kinesiske og nordkoreanske trusselaktører. Til tross for likhetene i teknikk og tilnærming har forskere imidlertid ikke klart å konkludere med at OneClik-kampanjen er knyttet til noen kjent gruppe.

Når det gjelder å identifisere tegn på kompromittering, bør organisasjoner være oppmerksomme på phishing-e-poster som leder mottakere til falske nettsteder for maskinvareanalyse, da disse ofte er de første inngangspunktene for angrepet. Et annet rødt flagg er bruk av ClickOnce-applikasjoner som startes via dfsvc.exe-prosessen, noe som kan indikere tilstedeværelsen av ondsinnede nyttelaster. Mistenkelig utrulling av AppDomainManager-injeksjonsteknikker og utgående tilkoblinger til angriperkontrollert infrastruktur som ligger på Amazon Web Services (AWS) er også sterke indikatorer på kompromittering.

For å forsvare seg mot slike trusler bør bedrifter vurdere å deaktivere eller nøye overvåke ClickOnce-distribusjoner, spesielt i høyrisikomiljøer. Sikkerhetsteam bør se etter avvikende underprosesser som stammer fra dfsvc.exe, som kan signalisere ondsinnet aktivitet. Implementering av endepunktsdeteksjons- og responsløsninger (EDR) kan bidra til å identifisere og redusere AppDomain-injeksjonsatferd. I tillegg kan det å undersøke nettverkstrafikk for uvanlig protokollbruk, for eksempel uventet proxy-atferd eller portvideresendingsforsøk, bidra til å oppdage skjulte kommunikasjonskanaler.

Konklusjon

OneClik-kampanjen understreker hvordan motstandere kontinuerlig forbedrer taktikkene sine for å utnytte legitime teknologier. For organisasjoner innen kritiske infrastruktursektorer er det fortsatt viktig å opprettholde en årvåken holdning og implementere flerlags sikkerhetsforsvar for å redusere virkningen av slike avanserte trusler.

 

Trender

Mest sett

Laster inn...