Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware OneClik Malware

OneClik Malware

Nga MezoMalware
Përkthe në:

Një fushatë e sofistikuar kibernetike e quajtur OneClik po synon sektorët e energjisë, naftës dhe gazit duke përdorur një përzierje metodash mashtruese të vendosjes dhe programesh keqdashëse të krijuara me porosi. Në zemër të këtij operacioni është abuzimi me teknologjinë ClickOnce të Microsoft dhe një derë e pasme e fuqishme me bazë në Golang e quajtur RunnerBeacon. Edhe pse treguesit sugjerojnë një lidhje të mundshme me aktorët kërcënues kinezë, atribuimi mbetet i pasigurt.

ClickOnce: Një mjet i dyfishtë për vendosje

ClickOnce i Microsoft është projektuar për të thjeshtuar procesin e vendosjes dhe përditësimit të aplikacioneve të Windows, duke lejuar instalime me ndërveprim minimal të përdoruesit. E prezantuar në .NET Framework 2.0, kjo veçori u mundëson aplikacioneve të funksionojnë me leje të kufizuara pa kërkuar të drejta administratori.

Fatkeqësisht, kjo lehtësi e ka bërë ClickOnce një aset të vlefshëm edhe për kriminelët kibernetikë. Aplikacionet keqdashëse mund të vendosen duke përdorur një skedar binar të besueshëm të Windows (dfsvc.exe), i cili trajton aplikacionet ClickOnce. Këto aplikacione ekzekutohen si një proces i degëzuar i dfsvc.exe, duke u lejuar sulmuesve të ekzekutojnë fshehurazi kod keqdashës pa ngritur alarme sigurie ose pa pasur nevojë për privilegje të larta.

Taktikat e Infiltrimit: Phishing dhe Deception

Zinxhiri i sulmit fillon me email-e phishing të hartuara mirë që i joshin viktimat në një faqe të rreme analize hardueri. Pasi viktima viziton faqen, një aplikacion dashakeq ClickOnce dërgohet dhe niset duke përdorur dfsvc.exe.

Ky ngarkues injekton kod të dëmshëm në memorie duke përdorur një metodë të njohur si injektim AppDomainManager, duke rezultuar në ekzekutimin e një shellcode të enkriptuar. Ngarkesa përfundimtare është RunnerBeacon, një derë e pasme e sofistikuar Golang.

RunnerBeacon: Një implant i fuqishëm dhe i gjithanshëm

Dera e pasme RunnerBeacon është ndërtuar për të mbështetur një gamë të gjerë aftësish, duke përfshirë:

  • Komunikimi përmes protokolleve të shumëfishta: HTTP(S), WebSockets, TCP i papërpunuar dhe tuba të emërtuara SMB
  • Ekzekutimi i komandave të shell dhe operacioneve të sistemit të skedarëve
  • Numërimi dhe përfundimi i procesit
  • Përshkallëzimi i privilegjit nëpërmjet vjedhjes së tokenëve dhe imitimit
  • Lëvizja anësore brenda një rrjeti

Gjithashtu përmban teknika të përparuara kundër analizës dhe shmangies, së bashku me mbështetje për operacione të përqendruara në rrjet si skanimi i porteve, përcjellja e porteve dhe proxy SOCKS5.

Një klon i Geacon?

RunnerBeacon shfaq ngjashmëri të forta me variantet e Cobalt Strike të bazuara në Go, si Geacon, Geacon Plus dhe Geacon Pro. Ai pasqyron strukturat e tyre të komandës, veçoritë e komunikimit ndërprotokollor dhe fleksibilitetin operacional. Këto tipare sugjerojnë që RunnerBeacon mund të jetë një degëzim i personalizuar ose i evoluar i Geacon, i rafinuar për t'u përzier pa probleme në mjediset cloud.

Kërcënim në zhvillim: U zbuluan variante të shumëfishta

Studiuesit e sigurisë kibernetike identifikuan tre variante të dallueshme të OneClik vetëm në mars të vitit 2025:

  • v1a
  • BPI-MDM
  • v1d

Çdo version përfshin përmirësime që përmirësojnë sistemet e zbulimit të fshehtë dhe anashkalimit. Megjithatë, gjurmë të RunnerBeacon u zbuluan tashmë në shtator 2023 në një kompani në sektorin e naftës dhe gazit në Lindjen e Mesme, duke treguar zhvillim dhe testim të vazhdueshëm.

Teknikat dhe Atribuimi: Të Njohura, por të Pakonfirmuara

Përdorimi i injektimit të AppDomainManager është një taktikë e dokumentuar mirë dhe është vërejtur më parë në fushatat kibernetike të lidhura me aktorë kërcënues kinezë dhe koreano-veriorë. Megjithatë, pavarësisht ngjashmërive në teknikë dhe qasje, studiuesit nuk kanë qenë në gjendje t'ia atribuojnë në mënyrë përfundimtare fushatën OneClik ndonjë grupi të njohur.

Për sa i përket identifikimit të shenjave të kompromentimit, organizatat duhet të jenë në gatishmëri për email-et phishing që i drejtojnë marrësit në faqet mashtruese të analizës së pajisjeve, pasi këto shpesh janë pikat fillestare të hyrjes për sulmin. Një tjetër sinjal paralajmërues është përdorimi i aplikacioneve ClickOnce të nisura nëpërmjet procesit dfsvc.exe, i cili mund të tregojë praninë e ngarkesave dashakeqe. Vendosja e dyshimtë e teknikave të injektimit AppDomainManager dhe lidhjet dalëse me infrastrukturën e kontrolluar nga sulmuesi të vendosur në Amazon Web Services (AWS) janë gjithashtu tregues të fortë të kompromentimit.

Për t'u mbrojtur nga kërcënime të tilla, ndërmarrjet duhet të marrin në konsideratë çaktivizimin ose monitorimin nga afër të vendosjeve të ClickOnce, veçanërisht në mjedise me rrezik të lartë. Ekipet e sigurisë duhet të vëzhgojnë proceset anormale të fëmijëve që rrjedhin nga dfsvc.exe, të cilat mund të sinjalizojnë aktivitet dashakeq. Vendosja e zgjidhjeve të zbulimit dhe përgjigjes së pikave fundore (EDR) mund të ndihmojë në identifikimin dhe zbutjen e sjelljeve të injektimit të AppDomain. Përveç kësaj, shqyrtimi i trafikut të rrjetit për përdorim të pazakontë të protokollit, siç është sjellja e papritur e proxy-t ose përpjekjet e përcjelljes së portave, mund të ndihmojë në zbulimin e kanaleve të fshehta të komunikimit.

Përfundim

Fushata OneClik nënvizon se si kundërshtarët po i përsosin vazhdimisht taktikat e tyre për të shfrytëzuar teknologjitë legjitime. Për organizatat brenda sektorëve kritikë të infrastrukturës, mbajtja e një qëndrimi vigjilent dhe zbatimi i mbrojtjeve shumështresore të sigurisë mbetet thelbësore në zbutjen e ndikimit të kërcënimeve të tilla të përparuara.


Në trend

Më e shikuara

Po ngarkohet...