Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО OneClik

Вредоносное ПО OneClik

К Mezo году в Вредоносное ПО году
Перевести на:

Сложная киберкампания под названием OneClik нацелена на энергетический, нефтяной и газовый секторы, используя смесь обманных методов развертывания и специально разработанного вредоносного ПО. В основе этой операции лежит злоупотребление технологией ClickOnce от Microsoft и мощным бэкдором на основе Golang под названием RunnerBeacon. Хотя индикаторы указывают на возможную связь с китайскими злоумышленниками, атрибуция остается предварительной.

ClickOnce: обоюдоострый инструмент развертывания

ClickOnce от Microsoft разработан для упрощения процесса развертывания и обновления приложений Windows, позволяя выполнять установку с минимальным взаимодействием с пользователем. Эта функция, представленная в .NET Framework 2.0, позволяет приложениям работать с ограниченными разрешениями без необходимости административных прав.

К сожалению, это удобство также сделало ClickOnce ценным активом для киберпреступников. Вредоносные приложения могут быть развернуты с использованием доверенного двоичного файла Windows (dfsvc.exe), который обрабатывает приложения ClickOnce. Эти приложения выполняются как дочерний процесс dfsvc.exe, что позволяет злоумышленникам скрытно запускать вредоносный код, не вызывая тревог безопасности или не нуждаясь в повышенных привилегиях.

Тактика проникновения: фишинг и обман

Цепочка атак начинается с хорошо продуманных фишинговых писем, которые заманивают жертв на поддельный сайт анализа оборудования. Как только жертва посещает сайт, вредоносное приложение ClickOnce доставляется и запускается с помощью dfsvc.exe.

Этот загрузчик внедряет вредоносный код в память, используя метод, известный как инъекция AppDomainManager, что приводит к выполнению зашифрованного шелл-кода. Конечная полезная нагрузка — RunnerBeacon, сложный бэкдор Golang.

RunnerBeacon: мощный и универсальный имплантат

Бэкдор RunnerBeacon создан для поддержки широкого спектра возможностей, включая:

  • Связь по нескольким протоколам: HTTP(S), WebSockets, raw TCP и именованные каналы SMB
  • Выполнение команд оболочки и операций файловой системы
  • Перечисление и завершение процесса
  • Повышение привилегий путем кражи токенов и выдачи себя за другое лицо
  • Горизонтальное движение внутри сети

Он также оснащен передовыми методами антианализа и обхода блокировок, а также поддерживает сетецентрические операции, такие как сканирование портов, переадресация портов и проксирование SOCKS5.

Клон Джикона?

RunnerBeacon демонстрирует сильное сходство с вариантами Cobalt Strike на основе Go, такими как Geacon, Geacon Plus и Geacon Pro. Он отражает их командные структуры, функции кросс-протокольной связи и эксплуатационную гибкость. Эти черты предполагают, что RunnerBeacon может быть кастомизированным или улучшенным ответвлением Geacon, усовершенствованным для бесшовного встраивания в облачные среды.

Развивающаяся угроза: обнаружено несколько вариантов

Только в марте 2025 года исследователи кибербезопасности выявили три различных варианта OneClik:

  • v1a
  • БПИ-МДМ
  • v1d

Каждая версия включает усовершенствования, которые улучшают скрытность и обходят системы обнаружения. Однако следы RunnerBeacon уже были обнаружены в сентябре 2023 года в компании ближневосточного нефтегазового сектора, что указывает на продолжающуюся разработку и тестирование.

Методы и атрибуция: известные, но неподтвержденные

Использование инъекции AppDomainManager — это хорошо документированная тактика, которая ранее наблюдалась в киберкампаниях, связанных с китайскими и северокорейскими субъектами угроз. Однако, несмотря на сходство в технике и подходе, исследователи не смогли окончательно приписать кампанию OneClik какой-либо известной группе.

С точки зрения выявления признаков компрометации, организации должны быть начеку в отношении фишинговых писем, которые направляют получателей на мошеннические веб-сайты анализа оборудования, поскольку они часто являются начальными точками входа для атаки. Еще одним красным флагом является использование приложений ClickOnce, запущенных через процесс dfsvc.exe, что может указывать на наличие вредоносных полезных нагрузок. Подозрительное развертывание методов инъекции AppDomainManager и исходящих подключений к контролируемой злоумышленником инфраструктуре, размещенной на Amazon Web Services (AWS), также являются сильными индикаторами компрометации.

Для защиты от таких угроз предприятиям следует рассмотреть возможность отключения или тщательного мониторинга развертываний ClickOnce, особенно в средах с высоким уровнем риска. Группы безопасности должны следить за аномальными дочерними процессами, происходящими от dfsvc.exe, которые могут сигнализировать о вредоносной активности. Развертывание решений обнаружения и реагирования на конечные точки (EDR) может помочь в выявлении и смягчении поведения инъекций AppDomain. Кроме того, проверка сетевого трафика на необычное использование протоколов, например неожиданное поведение прокси-сервера или попытки переадресации портов, может помочь в обнаружении скрытых каналов связи.

Заключение

Кампания OneClik подчеркивает, как злоумышленники постоянно совершенствуют свои тактики для использования легитимных технологий. Для организаций в секторах критической инфраструктуры сохранение бдительности и внедрение многоуровневой защиты безопасности остается важным для смягчения воздействия таких продвинутых угроз.

 

В тренде

Dersinstion.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Даже один неосторожный клик может открыть шлюзы для угроз безопасности. Мошенники постоянно совершенствуют тактику обмана пользователей, превращая невинный просмотр веб-страниц в рискованное...

Search-Mgr

Потенциально нежелательные программы, Браузерные хайджекеры
Search-Mgr — это сомнительное расширение для браузера, которое исследователи кибербезопасности классифицировали как угонщик браузера из-за его навязчивых возможностей. Кроме того, приложения этого...

Наиболее просматриваемые

Загрузка...