Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Malvér OneClick

Malvér OneClick

Do roku Mezo v roku Malvér
Preložiť do:

Sofistikovaná kybernetická kampaň s názvom OneClik sa zameriava na energetický, ropný a plynárenský sektor pomocou kombinácie klamlivých metód nasadzovania a na mieru vytvoreného malvéru. Jadrom tejto operácie je zneužitie technológie ClickOnce od spoločnosti Microsoft a výkonného zadného vrátka RunnerBeacon založeného na jazyku Golang. Hoci indikátory naznačujú možné prepojenie s čínskymi aktérmi hrozby, pripisovanie tejto hrozby zostáva neisté.

ClickOnce: Dvojsečný nástroj na nasadenie

Funkcia ClickOnce od spoločnosti Microsoft je navrhnutá tak, aby zjednodušila proces nasadzovania a aktualizácie aplikácií systému Windows a umožnila inštalácie s minimálnou interakciou s používateľom. Táto funkcia, ktorá bola predstavená v rozhranie .NET Framework 2.0, umožňuje aplikáciám spúšťať sa s obmedzenými povoleniami bez nutnosti administrátorských práv.

Táto výhoda bohužiaľ urobila z ClickOnce cenný nástroj aj pre kyberzločincov. Škodlivé aplikácie je možné nasadiť pomocou dôveryhodného binárneho súboru systému Windows (dfsvc.exe), ktorý spracováva aplikácie ClickOnce. Tieto aplikácie sa spúšťajú ako podradený proces súboru dfsvc.exe, čo útočníkom umožňuje nenápadne spúšťať škodlivý kód bez spustenia bezpečnostných alarmov alebo potreby zvýšených oprávnení.

Taktiky infiltrácie: Phishing a podvod

Útočný reťazec začína dobre spracovanými phishingovými e-mailmi, ktoré lákajú obete na falošnú stránku na analýzu hardvéru. Keď obeť navštívi stránku, doručí sa na ňu škodlivá aplikácia ClickOnce, ktorá sa spustí pomocou súboru dfsvc.exe.

Tento zavádzač vstrekuje škodlivý kód do pamäte pomocou metódy známej ako AppDomainManager injection, čo vedie k spusteniu zašifrovaného shellcode. Najdôležitejším užitočným zaťažením je RunnerBeacon, sofistikovaný backdoor Golang.

RunnerBeacon: Výkonný a všestranný implantát

Zadné vrátka RunnerBeacon sú navrhnuté tak, aby podporovali širokú škálu funkcií vrátane:

  • Komunikácia cez viacero protokolov: HTTP(S), WebSockets, raw TCP a SMB pomenované pipes
  • Vykonávanie príkazov shellu a operácií so súborovým systémom
  • Výpočet a ukončenie procesov
  • Zvyšovanie privilégií prostredníctvom krádeže tokenov a vydávania sa za inú osobu
  • Bočný pohyb v rámci siete

Ponúka tiež pokročilé techniky anti-analýzy a úniku spolu s podporou sieťovo orientovaných operácií, ako je skenovanie portov, presmerovanie portov a proxying SOCKS5.

Klon Geacona?

RunnerBeacon vykazuje silné podobnosti s variantmi Cobalt Strike založenými na Go, ako sú Geacon, Geacon Plus a Geacon Pro. Odráža ich štruktúry príkazov, funkcie komunikácie medzi protokolmi a operačnú flexibilitu. Tieto vlastnosti naznačujú, že RunnerBeacon môže byť prispôsobenou alebo vyvinutou verziou Geaconu, vylepšenou tak, aby sa bezproblémovo začlenila do cloudových prostredí.

Vyvíjajúca sa hrozba: Zistených viacero variantov

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali len v marci 2025 tri odlišné varianty OneClik:

  • v1a
  • BPI-MDM
  • v1d

Každá verzia obsahuje vylepšenia, ktoré vylepšujú systémy stealth a obchádzania detekcie. Stopy po RunnerBeacone však boli objavené už v septembri 2023 v spoločnosti v ropnom a plynárenskom sektore na Blízkom východe, čo naznačuje prebiehajúci vývoj a testovanie.

Techniky a pripisovanie: Známe, ale nepotvrdené

Používanie injekcie AppDomainManager je dobre zdokumentovaná taktika a už bola predtým pozorovaná v kybernetických kampaniach spojených s čínskymi a severokórejskými aktérmi. Napriek podobnosti v technike a prístupe však výskumníci nedokázali presvedčivo pripísať kampaň OneClik žiadnej známej skupine.

Pokiaľ ide o identifikáciu znakov kompromitácie, organizácie by si mali dávať pozor na phishingové e-maily, ktoré smerujú príjemcov na podvodné webové stránky zamerané na analýzu hardvéru, pretože tie sú často počiatočnými vstupnými bodmi útoku. Ďalším varovným signálom je používanie aplikácií ClickOnce spúšťaných prostredníctvom procesu dfsvc.exe, čo môže naznačovať prítomnosť škodlivých dát. Podozrivé nasadenie techník injektovania AppDomainManager a odchádzajúce pripojenia k infraštruktúre kontrolovanej útočníkom, ktorá je hostovaná na Amazon Web Services (AWS), sú tiež silnými indikátormi kompromitácie.

Aby sa podniky chránili pred takýmito hrozbami, mali by zvážiť vypnutie alebo dôkladné monitorovanie nasadení ClickOnce, najmä vo vysoko rizikových prostrediach. Bezpečnostné tímy by mali sledovať anomálne podradené procesy pochádzajúce z dfsvc.exe, ktoré by mohli signalizovať škodlivú aktivitu. Nasadenie riešení detekcie a reakcie na koncové body (EDR) môže pomôcť pri identifikácii a zmierňovaní správania pri vkladaní do domény AppDomain. Okrem toho, skúmanie sieťovej prevádzky na nezvyčajné používanie protokolov, ako je neočakávané správanie proxy alebo pokusy o presmerovanie portov, môže pomôcť pri odhaľovaní skrytých komunikačných kanálov.

Záver

Kampaň OneClik zdôrazňuje, ako protivníci neustále zdokonaľujú svoje taktiky na zneužívanie legitímnych technológií. Pre organizácie v sektoroch kritickej infraštruktúry zostáva udržiavanie ostražitej pozície a implementácia viacvrstvovej bezpečnostnej obrany nevyhnutným nástrojom na zmiernenie dopadu takýchto pokročilých hrozieb.

 

Trendy

Najviac videné

Načítava...