Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware OneClik

Programe malware OneClik

Până în Mezo în Programe malware
Tradu in:

O campanie cibernetică sofisticată, numită OneClik, vizează sectoarele energiei, petrolului și gazelor, utilizând o combinație de metode de implementare înșelătoare și programe malware personalizate. În centrul acestei operațiuni se află abuzul tehnologiei ClickOnce de la Microsoft și un backdoor puternic bazat pe Golang, numit RunnerBeacon. Deși indicatorii sugerează o posibilă legătură cu actorii amenințători chinezi, atribuirea rămâne incertă.

ClickOnce: Un instrument de implementare cu două muchii

ClickOnce de la Microsoft este conceput pentru a simplifica procesul de implementare și actualizare a aplicațiilor Windows, permițând instalări cu interacțiune minimă cu utilizatorul. Introdusă în .NET Framework 2.0, această caracteristică permite aplicațiilor să ruleze cu permisiuni limitate fără a necesita drepturi administrative.

Din păcate, această facilitate a transformat ClickOnce într-un atu valoros pentru infractorii cibernetici. Aplicațiile rău intenționate pot fi implementate folosind un fișier binar Windows de încredere (dfsvc.exe), care gestionează aplicațiile ClickOnce. Aceste aplicații sunt executate ca proces copil al dfsvc.exe, permițând atacatorilor să execute pe ascuns cod rău intenționat fără a declanșa alarme de securitate sau a necesita privilegii sporite.

Tactici de infiltrare: phishing și înșelăciune

Lanțul de atac începe cu e-mailuri de phishing bine concepute care atrag victimele către un site fals de analiză hardware. Odată ce victima vizitează site-ul, o aplicație ClickOnce rău intenționată este livrată și lansată folosind dfsvc.exe.

Acest încărcător injectează cod malițios în memorie folosind o metodă cunoscută sub numele de injecție AppDomainManager, rezultând în execuția unui shellcode criptat. Sarcina utilă finală este RunnerBeacon, un backdoor Golang sofisticat.

RunnerBeacon: Un implant puternic și versatil

Backdoor-ul RunnerBeacon este construit pentru a suporta o gamă largă de capabilități, inclusiv:

  • Comunicare prin protocoale multiple: HTTP(S), WebSockets, TCP brut și SMB named pipe-uri
  • Executarea comenzilor shell și a operațiunilor sistemului de fișiere
  • Enumerarea și terminarea proceselor
  • Escaladarea privilegiilor prin furt de tokenuri și uzurpare de identitate
  • Mișcarea laterală în cadrul unei rețele

De asemenea, dispune de tehnici avansate de anti-analiză și evitare a atacurilor, împreună cu suport pentru operațiuni centrate pe rețea, cum ar fi scanarea porturilor, redirecționarea porturilor și proxy-ul SOCKS5.

O clonă a lui Geacon?

RunnerBeacon prezintă asemănări puternice cu variantele Cobalt Strike bazate pe Go, cum ar fi Geacon, Geacon Plus și Geacon Pro. Acesta reflectă structurile lor de comandă, caracteristicile de comunicare cross-protocol și flexibilitatea operațională. Aceste trăsături sugerează că RunnerBeacon ar putea fi o ramură personalizată sau evoluată a Geacon, rafinată pentru a se integra perfect în mediile cloud.

Amenințare în evoluție: Au fost detectate mai multe variante

Cercetătorii în domeniul securității cibernetice au identificat trei variante distincte de OneClik numai în martie 2025:

  • versiunea 1a
  • BPI-MDM
  • versiunea 1d

Fiecare versiune include îmbunătățiri care îmbunătățesc sistemele de detectare stealth și bypass. Cu toate acestea, urme de RunnerBeacon au fost deja descoperite în septembrie 2023 la o companie din sectorul petrolului și gazelor din Orientul Mijlociu, ceea ce indică o dezvoltare și testare în curs de desfășurare.

Tehnici și atribuire: familiare, dar neconfirmate

Utilizarea injectării AppDomainManager este o tactică bine documentată și a fost observată anterior în campanii cibernetice asociate cu actori de amenințare chinezi și nord-coreeni. Cu toate acestea, în ciuda asemănărilor dintre tehnică și abordare, cercetătorii nu au reușit să atribuie în mod concludent campania OneClik niciunui grup cunoscut.

În ceea ce privește identificarea semnelor de compromitere, organizațiile ar trebui să fie în alertă la e-mailurile de phishing care direcționează destinatarii către site-uri web frauduloase de analiză hardware, deoarece acestea sunt adesea punctele de intrare inițiale pentru atac. Un alt semnal de alarmă este utilizarea aplicațiilor ClickOnce lansate prin procesul dfsvc.exe, care poate indica prezența unor sarcini utile rău intenționate. Implementarea suspectă a tehnicilor de injectare AppDomainManager și conexiunile de ieșire către infrastructura controlată de atacatori găzduită pe Amazon Web Services (AWS) sunt, de asemenea, indicatori puternici ai compromiterii.

Pentru a se apăra împotriva unor astfel de amenințări, companiile ar trebui să ia în considerare dezactivarea sau monitorizarea atentă a implementărilor ClickOnce, în special în mediile cu risc ridicat. Echipele de securitate ar trebui să fie atente la procesele secundare anormale care provin din dfsvc.exe, care ar putea semnala activități rău intenționate. Implementarea soluțiilor de detectare și răspuns la endpoint-uri (EDR) poate ajuta la identificarea și atenuarea comportamentelor de injectare AppDomain. În plus, examinarea traficului de rețea pentru utilizarea neobișnuită a protocoalelor, cum ar fi comportamentul neașteptat al proxy-ului sau încercările de redirecționare a porturilor, poate ajuta la detectarea canalelor de comunicare ascunse.

Concluzie

Campania OneClik subliniază modul în care adversarii își perfecționează continuu tacticile de exploatare a tehnologiilor legitime. Pentru organizațiile din sectoarele de infrastructură critică, menținerea unei posturi de vigilență și implementarea unor sisteme de securitate multistratificate rămân esențiale în atenuarea impactului unor astfel de amenințări avansate.

 

Trending

Cele mai văzute

Se încarcă...