Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер OneClick

Злонамерни софтвер OneClick

До Mezo. у Малваре
Преведи на:

Софистицирана сајбер кампања под називом OneClik усмерена је на енергетски, нафтни и гасни сектор користећи комбинацију обмањујућих метода распоређивања и прилагођеног малвера. У сржи ове операције је злоупотреба Мајкрософтове технологије ClickOnce и моћног задњег врата заснованог на Golang-у под називом RunnerBeacon. Иако индикатори указују на могућу везу са кинеским актерима претње, приписивање је и даље нејасно.

ClickOnce: Алат за имплементацију са две оштрице

Мајкрософтов ClickOnce је дизајниран да поједностави процес имплементације и ажурирања Windows апликација, омогућавајући инсталације уз минималну интеракцију корисника. Уведена у .NET Framework 2.0, ова функција омогућава апликацијама да раде са ограниченим дозволама без потребе за администраторским правима.

Нажалост, ова погодност је такође учинила ClickOnce вредним ресурсом за сајбер криминалце. Злонамерне апликације могу се распоредити помоћу поузданог Windows бинарног фајла (dfsvc.exe), који обрађује ClickOnce апликације. Ове апликације се извршавају као подређени процес dfsvc.exe, што омогућава нападачима да прикривено покрећу злонамерни код без подизања безбедносних аларма или потребе за повећаним привилегијама.

Тактике инфилтрације: Фишинг и обмана

Ланац напада почиње добро осмишљеним фишинг имејловима који маме жртве на лажни сајт за анализу хардвера. Када жртва посети сајт, злонамерна ClickOnce апликација се испоручује и покреће помоћу dfsvc.exe.

Овај програм за учитавање убризгава злонамерни код у меморију користећи методу познату као AppDomainManager injection, што резултира извршавањем шифрованог шелкода. Највећи корисни терет је RunnerBeacon, софистицирани Golang backdoor.

RunnerBeacon: Моћан и свестран имплантат

Задња врата RunnerBeacon-а су направљена да подрже широк спектар могућности, укључујући:

  • Комуникација преко више протокола: HTTP(S), WebSockets, raw TCP и SMB именовани цеви
  • Извршавање команди шкољке и операција система датотека
  • Набрајање и завршетак процеса
  • Ескалација привилегија путем крађе токена и лажног представљања
  • Латерално кретање унутар мреже

Такође садржи напредне технике анти-анализе и избегавања, заједно са подршком за мрежно-центричне операције као што су скенирање портова, прослеђивање портова и SOCKS5 проксирање.

Клон Гикона?

RunnerBeacon показује велике сличности са варијантама Cobalt Strike-а заснованим на Go-у, као што су Geacon, Geacon Plus и Geacon Pro. Одражава њихове командне структуре, функције комуникације између протокола и оперативну флексибилност. Ове особине сугеришу да RunnerBeacon може бити прилагођена или еволуирана верзија Geacon-а, побољшана да се беспрекорно уклопи у облачна окружења.

Претња која се развија: Откривено више варијанти

Истраживачи сајбер безбедности идентификовали су три различите варијанте OneClik-а само у марту 2025. године:

  • в1а
  • БПИ-МДМ
  • v1d

Свака верзија укључује побољшања која побољшавају системе за прикривеност и заобилажење система за детекцију. Међутим, трагови RunnerBeacon-а су већ откривени у септембру 2023. године у једној компанији у нафтном и гасном сектору Блиског истока, што указује на континуирани развој и тестирање.

Технике и приписивање: Познато, али непотврђено

Употреба AppDomainManager инјекције је добро документована тактика и раније је примећена у сајбер кампањама повезаним са кинеским и севернокорејским актерима претњи. Међутим, упркос сличностима у техници и приступу, истраживачи нису били у могућности да дефинитивно припишу OneClik кампању ниједној познатој групи.

Када је у питању идентификација знакова компромитовања, организације би требало да буду на опрезу због фишинг имејлова који усмеравају примаоце на лажне веб странице за анализу хардвера, јер су то често почетне тачке уласка за напад. Још један упозоравајући знак је коришћење ClickOnce апликација покренутих путем процеса dfsvc.exe, што може указивати на присуство злонамерних корисних садржаја. Сумњиво распоређивање техника убризгавања AppDomainManager-а и одлазне везе ка инфраструктури коју контролише нападач, а која се налази на Amazon Web Services (AWS), такође су јаки индикатори компромитовања.

Да би се одбранила од таквих претњи, предузећа би требало да размотре онемогућавање или пажљиво праћење имплементација ClickOnce-а, посебно у окружењима високог ризика. Безбедносни тимови треба да пазе на аномалне подпроцесе који потичу из dfsvc.exe, што би могло да сигнализира злонамерну активност. Имплементација решења за откривање и реаговање на крајње тачке (EDR) може помоћи у идентификовању и ублажавању понашања убризгавања AppDomain-а. Поред тога, испитивање мрежног саобраћаја за необичну употребу протокола, као што је неочекивано понашање проксија или покушаји прослеђивања портова, може помоћи у откривању тајних комуникационих канала.

Закључак

Кампања OneClik истиче како противници континуирано усавршавају своје тактике како би искористили легитимне технологије. За организације у секторима критичне инфраструктуре, одржавање будног става и примена вишеслојне безбедносне одбране остаје кључно за ублажавање утицаја таквих напредних претњи.

 

У тренду

Search-Mgr

Потенцијално нежељени програми, Отмичари претраживача
Сеарцх-Мгр је сумњиво проширење претраживача које су истраживачи сајбер безбедности класификовали као отмичаре претраживача, због његових интрузивних могућности. Штавише, апликације овог типа ће се...

Најгледанији

Злонамерних програма

Пецање, Спам
35,279
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...