OneClik मालवेयर

OneClik नामक एक परिष्कृत साइबर अभियानले भ्रामक तैनाती विधिहरू र अनुकूलित मालवेयरको मिश्रण प्रयोग गरेर ऊर्जा, तेल र ग्यास क्षेत्रहरूलाई लक्षित गरिरहेको छ। यस अपरेशनको मुटुमा माइक्रोसफ्टको ClickOnce प्रविधिको दुरुपयोग र RunnerBeacon नामक शक्तिशाली गोलङ-आधारित ब्याकडोर हो। यद्यपि सूचकहरूले चिनियाँ खतरा अभिनेताहरूसँग सम्भावित लिङ्कको सुझाव दिन्छन्, श्रेय अस्थायी रहन्छ।

क्लिकओन्स: एक दोधारे तैनाती उपकरण

माइक्रोसफ्टको क्लिकओन्स विन्डोज अनुप्रयोगहरूको तैनाती र अद्यावधिक प्रक्रियालाई सरल बनाउन डिजाइन गरिएको हो, जसले न्यूनतम प्रयोगकर्ता अन्तरक्रियाको साथ स्थापनाहरूलाई अनुमति दिन्छ। .NET फ्रेमवर्क २.० मा प्रस्तुत गरिएको, यो सुविधाले एपहरूलाई प्रशासनिक अधिकारको आवश्यकता बिना सीमित अनुमतिहरूसँग चलाउन सक्षम बनाउँछ।

दुर्भाग्यवश, यो सुविधाले ClickOnce लाई साइबर अपराधीहरूको लागि एक बहुमूल्य सम्पत्ति पनि बनाएको छ। ClickOnce एपहरू ह्यान्डल गर्ने विश्वसनीय Windows बाइनरी (dfsvc.exe) प्रयोग गरेर दुर्भावनापूर्ण अनुप्रयोगहरू तैनाथ गर्न सकिन्छ। यी एपहरू dfsvc.exe को बाल प्रक्रियाको रूपमा कार्यान्वयन गरिन्छ, जसले आक्रमणकारीहरूलाई सुरक्षा अलार्महरू नबनाई वा उच्च विशेषाधिकारहरूको आवश्यकता बिना नै दुर्भावनापूर्ण कोड चलाउन अनुमति दिन्छ।

घुसपैठ रणनीति: फिसिङ र छल

आक्रमण श्रृंखला राम्रोसँग बनाइएका फिसिङ इमेलहरूबाट सुरु हुन्छ जसले पीडितहरूलाई नक्कली हार्डवेयर विश्लेषण साइटमा लोभ्याउँछ। पीडितले साइट भ्रमण गरेपछि, dfsvc.exe प्रयोग गरेर दुर्भावनापूर्ण ClickOnce अनुप्रयोग डेलिभर र सुरु गरिन्छ।

यो लोडरले एपडोमेनमेनेजर इन्जेक्सन भनेर चिनिने विधि प्रयोग गरेर मेमोरीमा मालिसियस कोड इन्जेक्ट गर्छ, जसको परिणामस्वरूप इन्क्रिप्टेड शेलकोडको कार्यान्वयन हुन्छ। अन्तिम पेलोड रनरबीकन हो, एक परिष्कृत गोल्याङ ब्याकडोर।

रनरबीकन: एक शक्तिशाली र बहुमुखी प्रत्यारोपण

रनरबीकन ब्याकडोर विभिन्न क्षमताहरूलाई समर्थन गर्न निर्माण गरिएको छ, जसमा समावेश छन्:

• धेरै प्रोटोकलहरू मार्फत सञ्चार: HTTP(S), WebSockets, raw TCP, र SMB नामक पाइपहरू
• शेल आदेशहरू र फाइल प्रणाली सञ्चालनहरूको कार्यान्वयन
• प्रक्रिया गणना र समाप्ति
• टोकन चोरी र प्रतिरूपण मार्फत विशेषाधिकार वृद्धि
• नेटवर्क भित्र पार्श्व आन्दोलन

यसमा पोर्ट स्क्यानिङ, पोर्ट फर्वार्डिङ, र SOCKS5 प्रोक्सीइङ जस्ता नेटवर्क-केन्द्रित अपरेशनहरूको लागि समर्थन सहित उन्नत एन्टी-विश्लेषण र चोरी प्रविधिहरू पनि छन्।

गीकनको क्लोन?

रनरबीकनले गो-आधारित कोबाल्ट स्ट्राइक भेरियन्टहरू जस्तै गीकन, गीकन प्लस, र गीकन प्रोसँग बलियो समानताहरू प्रदर्शन गर्दछ। यसले तिनीहरूको कमाण्ड संरचना, क्रस-प्रोटोकल सञ्चार सुविधाहरू, र सञ्चालन लचिलोपनलाई प्रतिबिम्बित गर्दछ। यी विशेषताहरूले सुझाव दिन्छ कि रनरबीकन गीकनको अनुकूलित वा विकसित फोर्क हुन सक्छ, क्लाउड वातावरणमा निर्बाध रूपमा मिश्रण गर्न परिष्कृत।

विकसित खतरा: धेरै भेरियन्टहरू पत्ता लागे

साइबरसुरक्षा अनुसन्धानकर्ताहरूले मार्च २०२५ मा मात्र तीनवटा फरक OneClik भेरियन्टहरू पहिचान गरे:

• v1a ले
• BPI-MDM को लागि सोधपुछ पेश गर्नुहोस्, हामी तपाईंलाई 24 घण्टामा सम्पर्क गर्नेछौं।
• v1d ले

प्रत्येक संस्करणमा स्टिल्थ र बाइपास पत्ता लगाउने प्रणालीहरूलाई बढाउने परिष्करणहरू समावेश छन्। यद्यपि, रनरबीकनको निशानहरू सेप्टेम्बर २०२३ मा मध्य पूर्वको तेल र ग्यास क्षेत्रको एक कम्पनीमा पत्ता लगाइएको थियो, जसले निरन्तर विकास र परीक्षणलाई संकेत गर्दछ।

प्रविधि र विशेषता: परिचित तर अपुष्ट

AppDomainManager इंजेक्शनको प्रयोग एक राम्रोसँग दस्तावेज गरिएको रणनीति हो र पहिले पनि चिनियाँ र उत्तर कोरियाली खतरा अभिनेताहरूसँग सम्बन्धित साइबर अभियानहरूमा अवलोकन गरिएको छ। यद्यपि, प्रविधि र दृष्टिकोणमा समानताहरूको बावजुद, अनुसन्धानकर्ताहरूले OneClik अभियानलाई कुनै पनि ज्ञात समूहलाई निर्णायक रूपमा श्रेय दिन सकेका छैनन्।

सम्झौताका संकेतहरू पहिचान गर्ने सन्दर्भमा, संस्थाहरू फिशिङ इमेलहरूको लागि सतर्क हुनुपर्छ जसले प्राप्तकर्ताहरूलाई धोखाधडी हार्डवेयर विश्लेषण वेबसाइटहरूमा निर्देशित गर्दछ, किनकि यी प्रायः आक्रमणको लागि प्रारम्भिक प्रविष्टि बिन्दुहरू हुन्। अर्को रातो झण्डा dfsvc.exe प्रक्रिया मार्फत सुरु गरिएको ClickOnce अनुप्रयोगहरूको प्रयोग हो, जसले दुर्भावनापूर्ण पेलोडहरूको उपस्थितिलाई संकेत गर्न सक्छ। AppDomainManager इंजेक्शन प्रविधिहरूको शंकास्पद तैनाती र Amazon Web Services (AWS) मा होस्ट गरिएको आक्रमणकारी-नियन्त्रित पूर्वाधारमा आउटबाउन्ड जडानहरू पनि सम्झौताका बलियो सूचकहरू हुन्।

यस्ता खतराहरूबाट बचाउन, उद्यमहरूले विशेष गरी उच्च-जोखिम वातावरणमा ClickOnce तैनातीहरू असक्षम पार्ने वा नजिकबाट निगरानी गर्ने बारे विचार गर्नुपर्छ। सुरक्षा टोलीहरूले dfsvc.exe बाट उत्पन्न हुने असामान्य बाल प्रक्रियाहरूको लागि निगरानी गर्नुपर्छ, जसले दुर्भावनापूर्ण गतिविधिलाई संकेत गर्न सक्छ। अन्त्य बिन्दु पत्ता लगाउने र प्रतिक्रिया (EDR) समाधानहरू तैनाथ गर्नाले AppDomain इंजेक्शन व्यवहारहरू पहिचान गर्न र कम गर्न मद्दत गर्न सक्छ। थप रूपमा, अप्रत्याशित प्रोक्सी व्यवहार वा पोर्ट फर्वार्डिङ प्रयासहरू जस्ता असामान्य प्रोटोकल प्रयोगको लागि नेटवर्क ट्राफिकको जाँच गर्नाले गोप्य सञ्चार च्यानलहरू पत्ता लगाउन मद्दत गर्न सक्छ।

निष्कर्ष

OneClik अभियानले कसरी विरोधीहरूले वैध प्रविधिहरूको शोषण गर्न आफ्ना रणनीतिहरूलाई निरन्तर परिष्कृत गरिरहेका छन् भन्ने कुरालाई जोड दिन्छ। महत्वपूर्ण पूर्वाधार क्षेत्रहरू भित्रका संस्थाहरूका लागि, यस्ता उन्नत खतराहरूको प्रभावलाई कम गर्न सतर्क मुद्रा कायम राख्नु र बहु-स्तरीय सुरक्षा प्रतिरक्षाहरू लागू गर्नु आवश्यक छ।