Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema OneClick

Zlonamerna programska oprema OneClick

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Sofisticirana kibernetska kampanja z imenom OneClik cilja na energetski, naftni in plinski sektor z uporabo kombinacije zavajajočih metod uvajanja in posebej izdelane zlonamerne programske opreme. V središču te operacije je zloraba Microsoftove tehnologije ClickOnce in zmogljivih zadnjih vrat RunnerBeacon, ki temeljijo na Golangu. Čeprav kazalniki kažejo na morebitno povezavo s kitajskimi akterji grožnje, je pripisovanje še vedno zadržano.

ClickOnce: Dvostransko orodje za uvajanje

Microsoftov ClickOnce je zasnovan za poenostavitev postopka uvajanja in posodabljanja aplikacij sistema Windows, kar omogoča namestitev z minimalnim interakcijo uporabnika. Ta funkcija, predstavljena v ogrodju .NET Framework 2.0, omogoča aplikacijam zagon z omejenimi dovoljenji brez potrebe po skrbniških pravicah.

Žal je ta priročnost ClickOnce spremenila v dragoceno orodje za kibernetske kriminalce. Zlonamerne aplikacije je mogoče namestiti z uporabo zaupanja vredne binarne datoteke sistema Windows (dfsvc.exe), ki upravlja aplikacije ClickOnce. Te aplikacije se izvajajo kot podrejeni proces dfsvc.exe, kar napadalcem omogoča, da neopazno izvajajo zlonamerno kodo, ne da bi sprožili varnostne alarme ali potrebovali povišane privilegije.

Taktike infiltracije: lažno predstavljanje in prevara

Veriga napadov se začne z dobro oblikovanimi lažnimi e-poštnimi sporočili, ki žrtve privabijo na lažno spletno mesto za analizo strojne opreme. Ko žrtev obišče spletno mesto, se zlonamerna aplikacija ClickOnce dostavi in zažene z uporabo datoteke dfsvc.exe.

Ta nalagalnik vbrizga zlonamerno kodo v pomnilnik z metodo, znano kot AppDomainManager injection, kar povzroči izvedbo šifrirane lupinske kode. Končni koristni tovor je RunnerBeacon, sofisticirana Golang backdoor.

RunnerBeacon: Zmogljiv in vsestranski vsadek

Zadnja vrata RunnerBeacon so zasnovana za podporo širokega nabora zmogljivosti, vključno z:

  • Komunikacija prek več protokolov: HTTP(S), WebSockets, surovi TCP in SMB imenovane cevi
  • Izvajanje ukazov lupine in operacij datotečnega sistema
  • Štetje in zaključek procesov
  • Povečevanje privilegijev prek kraje žetonov in lažnega predstavljanja
  • Bočno gibanje znotraj omrežja

Ima tudi napredne tehnike preprečevanja analize in izogibanja, skupaj s podporo za omrežno usmerjene operacije, kot so skeniranje vrat, posredovanje vrat in posredništvo SOCKS5.

Klon Geacona?

RunnerBeacon kaže velike podobnosti z različicami Cobalt Strike, ki temeljijo na Go, kot so Geacon, Geacon Plus in Geacon Pro. Odraža njihove ukazne strukture, funkcije komunikacije med protokoli in operativno prilagodljivost. Te lastnosti kažejo, da je RunnerBeacon morda prilagojena ali razvita veja Geacona, izpopolnjena za brezhibno integracijo z oblačnimi okolji.

Razvijajoča se grožnja: Zaznanih več različic

Raziskovalci kibernetske varnosti so samo marca 2025 odkrili tri različne različice OneClika:

  • v1a
  • BPI-MDM
  • v1d

Vsaka različica vključuje izboljšave, ki izboljšujejo sisteme za prikritost in obhod zaznavanja. Vendar pa so bile sledi RunnerBeacona že odkrite septembra 2023 v podjetju v naftnem in plinskem sektorju na Bližnjem vzhodu, kar kaže na nenehen razvoj in testiranje.

Tehnike in pripisovanje: znane, a nepotrjene

Uporaba vbrizgavanja AppDomainManager je dobro dokumentirana taktika, ki je bila že opažena v kibernetskih kampanjah, povezanih s kitajskimi in severnokorejskimi akterji grožnje. Vendar pa kljub podobnostim v tehniki in pristopu raziskovalci kampanje OneClik niso mogli dokončno pripisati nobeni znani skupini.

Kar zadeva prepoznavanje znakov kompromitacije, morajo biti organizacije pozorne na lažna e-poštna sporočila, ki prejemnike usmerjajo na goljufiva spletna mesta za analizo strojne opreme, saj so ta pogosto začetne vstopne točke za napad. Drug opozorilni znak je uporaba aplikacij ClickOnce, zagnanih prek procesa dfsvc.exe, kar lahko kaže na prisotnost zlonamernih koristnih tovorov. Sumljiva namestitev tehnik vbrizgavanja AppDomainManager in odhodne povezave do infrastruktur, ki jo nadzoruje napadalec in gostuje na Amazon Web Services (AWS), so prav tako močni kazalniki kompromitacije.

Za zaščito pred takimi grožnjami bi morala podjetja razmisliti o onemogočanju ali natančnem spremljanju uvajanja ClickOnce, zlasti v okoljih z visokim tveganjem. Varnostne ekipe bi morale biti pozorne na nenavadne podrejene procese, ki izvirajo iz dfsvc.exe in bi lahko signalizirali zlonamerno dejavnost. Uvajanje rešitev za zaznavanje in odzivanje na končne točke (EDR) lahko pomaga pri prepoznavanju in blaženju vedenja vbrizgavanja AppDomain. Poleg tega lahko pregled omrežnega prometa za nenavadno uporabo protokolov, kot je nepričakovano vedenje proxyja ali poskusi posredovanja vrat, pomaga pri odkrivanju prikritih komunikacijskih kanalov.

Zaključek

Kampanja OneClik poudarja, kako nasprotniki nenehno izpopolnjujejo svoje taktike za izkoriščanje legitimnih tehnologij. Za organizacije v sektorjih kritične infrastrukture ostaja ohranjanje budnosti in izvajanje večplastne varnostne obrambe bistvenega pomena za ublažitev vpliva takšnih naprednih groženj.

 

V trendu

Najbolj gledan

Nalaganje...