Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Malware OneClik

Malware OneClik

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Wyrafinowana cyberkampania o nazwie OneClik jest skierowana do sektora energetycznego, naftowego i gazowego, wykorzystując połączenie oszukańczych metod wdrażania i niestandardowego złośliwego oprogramowania. Sercem tej operacji jest nadużycie technologii ClickOnce firmy Microsoft i potężnego backdoora opartego na języku Golang o nazwie RunnerBeacon. Chociaż wskaźniki sugerują możliwy związek z chińskimi aktorami zagrożeń, atrybucja pozostaje niepewna.

ClickOnce: dwustronne narzędzie do wdrażania

ClickOnce firmy Microsoft został zaprojektowany, aby uprościć proces wdrażania i aktualizacji aplikacji Windows, umożliwiając instalacje z minimalną interakcją użytkownika. Wprowadzona w .NET Framework 2.0, ta funkcja umożliwia aplikacjom uruchamianie się z ograniczonymi uprawnieniami bez konieczności posiadania praw administracyjnych.

Niestety, ta wygoda uczyniła ClickOnce cennym atutem dla cyberprzestępców. Złośliwe aplikacje można wdrażać przy użyciu zaufanego pliku binarnego Windows (dfsvc.exe), który obsługuje aplikacje ClickOnce. Te aplikacje są wykonywane jako proces potomny dfsvc.exe, co pozwala atakującym na dyskretne uruchamianie złośliwego kodu bez wywoływania alarmów bezpieczeństwa lub konieczności posiadania podwyższonych uprawnień.

Taktyki infiltracji: phishing i oszustwo

Łańcuch ataków zaczyna się od dobrze opracowanych wiadomości phishingowych, które wabią ofiary na fałszywą stronę analizy sprzętu. Gdy ofiara odwiedzi stronę, złośliwa aplikacja ClickOnce jest dostarczana i uruchamiana za pomocą dfsvc.exe.

Ten program ładujący wstrzykuje złośliwy kod do pamięci za pomocą metody znanej jako wstrzyknięcie AppDomainManager, co skutkuje wykonaniem zaszyfrowanego kodu powłoki. Ostatecznym ładunkiem jest RunnerBeacon, wyrafinowany backdoor Golang.

RunnerBeacon: Potężny i wszechstronny implant

Tylne wejście RunnerBeacon zostało stworzone, aby obsługiwać szeroki zakres funkcji, w tym:

  • Komunikacja za pośrednictwem wielu protokołów: HTTP(S), WebSockets, surowe TCP i nazwane potoki SMB
  • Wykonywanie poleceń powłoki i operacji na systemie plików
  • Wyliczanie i kończenie procesów
  • Eskalacja uprawnień poprzez kradzież tokenów i podszywanie się
  • Ruch boczny w sieci

Oferuje także zaawansowane techniki ochrony przed analizą i unikaniem zagrożeń, a także obsługuje operacje sieciowe, takie jak skanowanie portów, przekierowywanie portów i proxy SOCKS5.

Klon Geacona?

RunnerBeacon wykazuje silne podobieństwo do wariantów Cobalt Strike opartych na Go, takich jak Geacon, Geacon Plus i Geacon Pro. Odzwierciedla ich struktury poleceń, funkcje komunikacji międzyprotokołowej i elastyczność operacyjną. Te cechy sugerują, że RunnerBeacon może być dostosowanym lub rozwiniętym forkiem Geacon, udoskonalonym w celu płynnego wkomponowania w środowiska chmurowe.

Rozwijające się zagrożenie: wykryto wiele wariantów

Tylko w marcu 2025 r. badacze zajmujący się cyberbezpieczeństwem zidentyfikowali trzy odrębne warianty OneClik:

  • wersja 1a
  • BPI-MDM
  • v1d

Każda wersja zawiera udoskonalenia, które wzmacniają systemy wykrywania stealth i bypass. Jednak ślady RunnerBeacon zostały odkryte już we wrześniu 2023 r. w firmie z sektora ropy i gazu na Bliskim Wschodzie, co wskazuje na trwający rozwój i testy.

Techniki i atrybucja: znane, ale niepotwierdzone

Użycie wstrzyknięcia AppDomainManager jest dobrze udokumentowaną taktyką i było wcześniej obserwowane w cyberkampaniach powiązanych z chińskimi i północnokoreańskimi aktorami zagrożeń. Jednak pomimo podobieństw w technice i podejściu, badacze nie byli w stanie jednoznacznie przypisać kampanii OneClik żadnej znanej grupie.

Jeśli chodzi o identyfikację oznak zagrożenia, organizacje powinny być czujne na wiadomości e-mail phishing, które kierują odbiorców do fałszywych witryn analizy sprzętu, ponieważ często są to początkowe punkty wejścia do ataku. Innym sygnałem ostrzegawczym jest użycie aplikacji ClickOnce uruchamianych za pośrednictwem procesu dfsvc.exe, co może wskazywać na obecność złośliwych ładunków. Podejrzane wdrożenie technik wstrzykiwania AppDomainManager i połączenia wychodzące do infrastruktury kontrolowanej przez atakującego hostowanej w Amazon Web Services (AWS) są również silnymi wskaźnikami zagrożenia.

Aby bronić się przed takimi zagrożeniami, przedsiębiorstwa powinny rozważyć wyłączenie lub ścisłe monitorowanie wdrożeń ClickOnce, szczególnie w środowiskach wysokiego ryzyka. Zespoły ds. bezpieczeństwa powinny zwracać uwagę na anomalie procesów potomnych pochodzących z dfsvc.exe, które mogą sygnalizować złośliwą aktywność. Wdrożenie rozwiązań wykrywania i reagowania na punkty końcowe (EDR) może pomóc w identyfikowaniu i łagodzeniu zachowań wstrzykiwania AppDomain. Ponadto badanie ruchu sieciowego pod kątem nietypowego użycia protokołu, takiego jak nieoczekiwane zachowanie serwera proxy lub próby przekierowania portów, może pomóc w wykrywaniu ukrytych kanałów komunikacyjnych.

Wniosek

Kampania OneClik podkreśla, jak przeciwnicy nieustannie udoskonalają swoje taktyki, aby wykorzystywać legalne technologie. Dla organizacji w sektorach infrastruktury krytycznej utrzymanie czujnej postawy i wdrażanie wielowarstwowych zabezpieczeń pozostaje niezbędne w łagodzeniu wpływu tak zaawansowanych zagrożeń.

 

Popularne

Najczęściej oglądane

Ładowanie...