OneClik ਮਾਲਵੇਅਰ

OneClik ਨਾਮਕ ਇੱਕ ਸੂਝਵਾਨ ਸਾਈਬਰ ਮੁਹਿੰਮ ਧੋਖੇਬਾਜ਼ ਤੈਨਾਤੀ ਵਿਧੀਆਂ ਅਤੇ ਕਸਟਮ-ਬਿਲਟ ਮਾਲਵੇਅਰ ਦੇ ਮਿਸ਼ਰਣ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਊਰਜਾ, ਤੇਲ ਅਤੇ ਗੈਸ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੀ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀ ClickOnce ਤਕਨਾਲੋਜੀ ਅਤੇ RunnerBeacon ਨਾਮਕ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਗੋਲਾਂਗ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਦੀ ਦੁਰਵਰਤੋਂ ਹੈ। ਹਾਲਾਂਕਿ ਸੰਕੇਤਕ ਚੀਨੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨਾਲ ਇੱਕ ਸੰਭਾਵਿਤ ਸਬੰਧ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ, ਪਰ ਵਿਸ਼ੇਸ਼ਤਾ ਅਜੇ ਵੀ ਅਸਥਾਈ ਹੈ।

ClickOnce: ਇੱਕ ਦੋ-ਧਾਰੀ ਤੈਨਾਤੀ ਟੂਲ

ਮਾਈਕ੍ਰੋਸਾਫਟ ਦਾ ClickOnce ਵਿੰਡੋਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਤੈਨਾਤੀ ਅਤੇ ਅੱਪਡੇਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸਰਲ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਘੱਟੋ-ਘੱਟ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਨਾਲ ਇੰਸਟਾਲੇਸ਼ਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ। .NET ਫਰੇਮਵਰਕ 2.0 ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ, ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਐਪਸ ਨੂੰ ਪ੍ਰਬੰਧਕੀ ਅਧਿਕਾਰਾਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਸੀਮਤ ਅਨੁਮਤੀਆਂ ਨਾਲ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

ਬਦਕਿਸਮਤੀ ਨਾਲ, ਇਸ ਸਹੂਲਤ ਨੇ ClickOnce ਨੂੰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਇੱਕ ਕੀਮਤੀ ਸੰਪਤੀ ਵੀ ਬਣਾ ਦਿੱਤਾ ਹੈ। ਖਤਰਨਾਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਇੱਕ ਭਰੋਸੇਯੋਗ Windows ਬਾਈਨਰੀ (dfsvc.exe) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜੋ ClickOnce ਐਪਸ ਨੂੰ ਸੰਭਾਲਦਾ ਹੈ। ਇਹ ਐਪਸ dfsvc.exe ਦੀ ਇੱਕ ਚਾਈਲਡ ਪ੍ਰਕਿਰਿਆ ਦੇ ਤੌਰ 'ਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਅਲਾਰਮ ਵਧਾਏ ਜਾਂ ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਚੋਰੀ-ਛਿਪੇ ਖਤਰਨਾਕ ਕੋਡ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਘੁਸਪੈਠ ਦੀਆਂ ਚਾਲਾਂ: ਫਿਸ਼ਿੰਗ ਅਤੇ ਧੋਖਾ

ਹਮਲੇ ਦੀ ਲੜੀ ਚੰਗੀ ਤਰ੍ਹਾਂ ਤਿਆਰ ਕੀਤੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਨਕਲੀ ਹਾਰਡਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਣ ਸਾਈਟ ਵੱਲ ਲੁਭਾਉਂਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤ ਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਖਤਰਨਾਕ ClickOnce ਐਪਲੀਕੇਸ਼ਨ dfsvc.exe ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਲੀਵਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਲਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਇਹ ਲੋਡਰ ਐਪਡੋਮੇਨਮੈਨੇਜਰ ਇੰਜੈਕਸ਼ਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੈਲੀਸਿਵ ਕੋਡ ਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਲਾਗੂ ਹੁੰਦਾ ਹੈ। ਅੰਤਮ ਪੇਲੋਡ ਰਨਰਬੀਕਨ ਹੈ, ਇੱਕ ਸੂਝਵਾਨ ਗੋਲੰਗ ਬੈਕਡੋਰ।

ਰਨਰਬੀਕਨ: ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਅਤੇ ਬਹੁਪੱਖੀ ਇਮਪਲਾਂਟ

ਰਨਰਬੀਕਨ ਬੈਕਡੋਰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਕਈ ਪ੍ਰੋਟੋਕੋਲਾਂ 'ਤੇ ਸੰਚਾਰ: HTTP(S), WebSockets, raw TCP, ਅਤੇ SMB ਨਾਮਕ ਪਾਈਪ।
• ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਅਤੇ ਫਾਈਲ ਸਿਸਟਮ ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਪ੍ਰਕਿਰਿਆ ਦੀ ਗਣਨਾ ਅਤੇ ਸਮਾਪਤੀ
• ਟੋਕਨ ਚੋਰੀ ਅਤੇ ਨਕਲ ਰਾਹੀਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਵਿੱਚ ਵਾਧਾ
• ਇੱਕ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ

ਇਸ ਵਿੱਚ ਪੋਰਟ ਸਕੈਨਿੰਗ, ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ, ਅਤੇ SOCKS5 ਪ੍ਰੌਕਸੀਇੰਗ ਵਰਗੇ ਨੈੱਟਵਰਕ-ਕੇਂਦ੍ਰਿਤ ਕਾਰਜਾਂ ਲਈ ਸਮਰਥਨ ਦੇ ਨਾਲ, ਉੱਨਤ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਚੋਰੀ ਤਕਨੀਕਾਂ ਵੀ ਸ਼ਾਮਲ ਹਨ।

ਗੀਕਨ ਦਾ ਕਲੋਨ?

ਰਨਰਬੀਕਨ ਗੋ-ਅਧਾਰਿਤ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਵੇਰੀਐਂਟਸ ਜਿਵੇਂ ਕਿ ਗੀਕਨ, ਗੀਕਨ ਪਲੱਸ, ਅਤੇ ਗੀਕਨ ਪ੍ਰੋ ਨਾਲ ਮਜ਼ਬੂਤ ਸਮਾਨਤਾਵਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਉਹਨਾਂ ਦੇ ਕਮਾਂਡ ਢਾਂਚੇ, ਕਰਾਸ-ਪ੍ਰੋਟੋਕੋਲ ਸੰਚਾਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ, ਅਤੇ ਸੰਚਾਲਨ ਲਚਕਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਹ ਗੁਣ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਰਨਰਬੀਕਨ ਗੀਕਨ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਜਾਂ ਵਿਕਸਤ ਫੋਰਕ ਹੋ ਸਕਦਾ ਹੈ, ਜੋ ਕਲਾਉਡ ਵਾਤਾਵਰਣ ਵਿੱਚ ਸਹਿਜੇ ਹੀ ਮਿਲਾਉਣ ਲਈ ਸੁਧਾਰਿਆ ਗਿਆ ਹੈ।

ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ: ਕਈ ਰੂਪਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮਾਰਚ 2025 ਵਿੱਚ ਹੀ ਤਿੰਨ ਵੱਖ-ਵੱਖ OneClik ਰੂਪਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ:

• ਵੀ1ਏ
• ਬੀਪੀਆਈ-ਐਮਡੀਐਮ
• ਵੀ1ਡੀ

ਹਰੇਕ ਸੰਸਕਰਣ ਵਿੱਚ ਸੁਧਾਰ ਸ਼ਾਮਲ ਹਨ ਜੋ ਸਟੀਲਥ ਅਤੇ ਬਾਈਪਾਸ ਖੋਜ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਰਨਰਬੀਕਨ ਦੇ ਨਿਸ਼ਾਨ ਪਹਿਲਾਂ ਹੀ ਸਤੰਬਰ 2023 ਵਿੱਚ ਮੱਧ ਪੂਰਬ ਦੇ ਤੇਲ ਅਤੇ ਗੈਸ ਖੇਤਰ ਵਿੱਚ ਇੱਕ ਕੰਪਨੀ ਵਿੱਚ ਲੱਭੇ ਗਏ ਸਨ, ਜੋ ਕਿ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਅਤੇ ਜਾਂਚ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

ਤਕਨੀਕਾਂ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ: ਜਾਣੂ ਪਰ ਅਪ੍ਰਮਾਣਿਤ

ਐਪਡੋਮੇਨਮੈਨੇਜਰ ਇੰਜੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਦਸਤਾਵੇਜ਼ੀ ਰਣਨੀਤੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਪਹਿਲਾਂ ਚੀਨੀ ਅਤੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਹਾਲਾਂਕਿ, ਤਕਨੀਕ ਅਤੇ ਪਹੁੰਚ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਖੋਜਕਰਤਾ ਕਿਸੇ ਵੀ ਜਾਣੇ-ਪਛਾਣੇ ਸਮੂਹ ਨੂੰ OneClik ਮੁਹਿੰਮ ਦਾ ਸਿੱਟਾ ਕੱਢਣ ਦੇ ਯੋਗ ਨਹੀਂ ਰਹੇ ਹਨ।

ਸਮਝੌਤੇ ਦੇ ਸੰਕੇਤਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਸੰਗਠਨਾਂ ਨੂੰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਲਈ ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੇ ਹਾਰਡਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਣ ਵੈੱਬਸਾਈਟਾਂ ਵੱਲ ਭੇਜਦੇ ਹਨ, ਕਿਉਂਕਿ ਇਹ ਅਕਸਰ ਹਮਲੇ ਲਈ ਸ਼ੁਰੂਆਤੀ ਐਂਟਰੀ ਪੁਆਇੰਟ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਹੋਰ ਲਾਲ ਝੰਡਾ dfsvc.exe ਪ੍ਰਕਿਰਿਆ ਦੁਆਰਾ ਲਾਂਚ ਕੀਤੇ ਗਏ ClickOnce ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਹੈ, ਜੋ ਕਿ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦਾ ਸੰਕੇਤ ਦੇ ਸਕਦਾ ਹੈ। Amazon Web Services (AWS) 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ AppDomainManager ਇੰਜੈਕਸ਼ਨ ਤਕਨੀਕਾਂ ਦੀ ਸ਼ੱਕੀ ਤੈਨਾਤੀ ਅਤੇ ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨ ਵੀ ਸਮਝੌਤੇ ਦੇ ਮਜ਼ਬੂਤ ਸੰਕੇਤ ਹਨ।

ਅਜਿਹੇ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਅ ਲਈ, ਉੱਦਮਾਂ ਨੂੰ ClickOnce ਤੈਨਾਤੀਆਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਜਾਂ ਨੇੜਿਓਂ ਨਿਗਰਾਨੀ ਕਰਨ ਬਾਰੇ ਵਿਚਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਉੱਚ-ਜੋਖਮ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ। ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ dfsvc.exe ਤੋਂ ਪੈਦਾ ਹੋਣ ਵਾਲੀਆਂ ਅਸਧਾਰਨ ਚਾਈਲਡ ਪ੍ਰਕਿਰਿਆਵਾਂ 'ਤੇ ਨਜ਼ਰ ਰੱਖਣੀ ਚਾਹੀਦੀ ਹੈ, ਜੋ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦਾ ਸੰਕੇਤ ਦੇ ਸਕਦੀਆਂ ਹਨ। ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਹੱਲ ਤੈਨਾਤ ਕਰਨ ਨਾਲ AppDomain ਇੰਜੈਕਸ਼ਨ ਵਿਵਹਾਰਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਮਿਲ ਸਕਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਸਾਧਾਰਨ ਪ੍ਰੋਟੋਕੋਲ ਵਰਤੋਂ ਲਈ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦੀ ਜਾਂਚ ਕਰਨਾ, ਜਿਵੇਂ ਕਿ ਅਚਾਨਕ ਪ੍ਰੌਕਸੀ ਵਿਵਹਾਰ ਜਾਂ ਪੋਰਟ ਫਾਰਵਰਡਿੰਗ ਕੋਸ਼ਿਸ਼ਾਂ, ਗੁਪਤ ਸੰਚਾਰ ਚੈਨਲਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰ ਸਕਦੀਆਂ ਹਨ।

ਸਿੱਟਾ

OneClik ਮੁਹਿੰਮ ਇਸ ਗੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਵਿਰੋਧੀ ਜਾਇਜ਼ ਤਕਨਾਲੋਜੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰ ਰਹੇ ਹਨ। ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਖੇਤਰਾਂ ਦੇ ਅੰਦਰ ਸੰਗਠਨਾਂ ਲਈ, ਅਜਿਹੇ ਉੱਨਤ ਖਤਰਿਆਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾਉਣ ਲਈ ਇੱਕ ਚੌਕਸ ਮੁਦਰਾ ਬਣਾਈ ਰੱਖਣਾ ਅਤੇ ਬਹੁ-ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ।