ஒன் கிளிக் தீம்பொருள்
OneClik என அழைக்கப்படும் ஒரு அதிநவீன சைபர் பிரச்சாரம், ஏமாற்றும் வரிசைப்படுத்தல் முறைகள் மற்றும் தனிப்பயன்-கட்டமைக்கப்பட்ட தீம்பொருள் ஆகியவற்றின் கலவையைப் பயன்படுத்தி ஆற்றல், எண்ணெய் மற்றும் எரிவாயு துறைகளை இலக்காகக் கொண்டுள்ளது. இந்த நடவடிக்கையின் மையத்தில் மைக்ரோசாப்டின் ClickOnce தொழில்நுட்பத்தின் துஷ்பிரயோகம் மற்றும் RunnerBeacon என்ற சக்திவாய்ந்த கோலாங் அடிப்படையிலான பின்புறக் கதவு உள்ளது. சீன அச்சுறுத்தல் நடிகர்களுடன் சாத்தியமான தொடர்பை குறிகாட்டிகள் பரிந்துரைத்தாலும், பண்புக்கூறு தற்காலிகமாகவே உள்ளது.
பொருளடக்கம்
கிளிக்ஒன்ஸ்: இரட்டை முனைகள் கொண்ட வரிசைப்படுத்தல் கருவி
மைக்ரோசாப்டின் கிளிக்ஒன்ஸ், விண்டோஸ் பயன்பாடுகளின் வரிசைப்படுத்தல் மற்றும் புதுப்பிப்பு செயல்முறையை எளிதாக்க வடிவமைக்கப்பட்டுள்ளது, இது குறைந்தபட்ச பயனர் தொடர்புடன் நிறுவல்களை அனுமதிக்கிறது. .NET கட்டமைப்பு 2.0 இல் அறிமுகப்படுத்தப்பட்ட இந்த அம்சம், நிர்வாக உரிமைகள் தேவையில்லாமல் பயன்பாடுகளை வரையறுக்கப்பட்ட அனுமதிகளுடன் இயக்க உதவுகிறது.
துரதிர்ஷ்டவசமாக, இந்த வசதி ClickOnce-ஐ சைபர் குற்றவாளிகளுக்கு ஒரு மதிப்புமிக்க சொத்தாக மாற்றியுள்ளது. ClickOnce பயன்பாடுகளைக் கையாளும் நம்பகமான Windows பைனரி (dfsvc.exe) ஐப் பயன்படுத்தி தீங்கிழைக்கும் பயன்பாடுகளைப் பயன்படுத்தலாம். இந்த பயன்பாடுகள் dfsvc.exe இன் குழந்தை செயல்முறையாக செயல்படுத்தப்படுகின்றன, இதனால் தாக்குபவர்கள் பாதுகாப்பு அலாரங்களை எழுப்பாமல் அல்லது உயர்ந்த சலுகைகள் தேவையில்லாமல் தீங்கிழைக்கும் குறியீட்டை திருட்டுத்தனமாக இயக்க அனுமதிக்கிறது.
ஊடுருவல் தந்திரோபாயங்கள்: ஃபிஷிங் மற்றும் ஏமாற்றுதல்
இந்தத் தாக்குதல் சங்கிலி நன்கு வடிவமைக்கப்பட்ட ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகிறது, இது பாதிக்கப்பட்டவர்களை போலியான வன்பொருள் பகுப்பாய்வு தளத்திற்கு ஈர்க்கிறது. பாதிக்கப்பட்டவர் அந்த தளத்தைப் பார்வையிட்டவுடன், ஒரு தீங்கிழைக்கும் ClickOnce பயன்பாடு வழங்கப்பட்டு dfsvc.exe ஐப் பயன்படுத்தி தொடங்கப்படுகிறது.
இந்த ஏற்றி AppDomainManager ஊசி எனப்படும் முறையைப் பயன்படுத்தி நினைவகத்தில் தீங்கிழைக்கும் குறியீட்டைச் செலுத்துகிறது, இதன் விளைவாக மறைகுறியாக்கப்பட்ட ஷெல் குறியீட்டை செயல்படுத்துகிறது. இறுதி பேலோட் ரன்னர்பீகான் ஆகும், இது ஒரு அதிநவீன கோலாங் பின்புறக் கதவு.
ரன்னர்பீக்கான்: ஒரு சக்திவாய்ந்த மற்றும் பல்துறை உள்வைப்பு
ரன்னர்பீக்கன் பின்புறக் கதவு பரந்த அளவிலான திறன்களை ஆதரிக்கும் வகையில் கட்டமைக்கப்பட்டுள்ளது, அவற்றுள்:
- பல நெறிமுறைகள் வழியாக தொடர்பு: HTTP(S), WebSockets, raw TCP மற்றும் SMB பெயரிடப்பட்ட குழாய்கள்.
- ஷெல் கட்டளைகள் மற்றும் கோப்பு முறைமை செயல்பாடுகளை செயல்படுத்துதல்
- செயல்முறை கணக்கீடு மற்றும் முடித்தல்
- டோக்கன் திருட்டு மற்றும் ஆள்மாறாட்டம் மூலம் சலுகை அதிகரிப்பு
- ஒரு வலையமைப்பிற்குள் பக்கவாட்டு இயக்கம்
இது மேம்பட்ட பகுப்பாய்வு எதிர்ப்பு மற்றும் ஏய்ப்பு நுட்பங்களையும் கொண்டுள்ளது, மேலும் போர்ட் ஸ்கேனிங், போர்ட் ஃபார்வர்டிங் மற்றும் SOCKS5 ப்ராக்ஸிங் போன்ற நெட்வொர்க் மையப்படுத்தப்பட்ட செயல்பாடுகளுக்கான ஆதரவையும் கொண்டுள்ளது.
கீக்கனின் ஒரு குளோனா?
Geacon, Geacon Plus மற்றும் Geacon Pro போன்ற Go- அடிப்படையிலான கோபால்ட் ஸ்ட்ரைக் வகைகளுடன் RunnerBeacon வலுவான ஒற்றுமைகளைக் காட்டுகிறது. இது அவற்றின் கட்டளை கட்டமைப்புகள், குறுக்கு-நெறிமுறை தொடர்பு அம்சங்கள் மற்றும் செயல்பாட்டு நெகிழ்வுத்தன்மையை பிரதிபலிக்கிறது. இந்த பண்புகள் RunnerBeacon என்பது Geacon இன் தனிப்பயனாக்கப்பட்ட அல்லது பரிணாம வளர்ச்சியடைந்த முட்கரண்டியாக இருக்கலாம், இது மேக சூழல்களில் தடையின்றி கலக்க சுத்திகரிக்கப்படலாம் என்பதைக் குறிக்கிறது.
வளர்ந்து வரும் அச்சுறுத்தல்: பல மாறுபாடுகள் கண்டறியப்பட்டன
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் மார்ச் 2025 இல் மட்டும் மூன்று தனித்துவமான OneClik வகைகளை அடையாளம் கண்டுள்ளனர்:
- v1a (வி1அ)
- பிபிஐ-எம்டிஎம்
- v1டி
ஒவ்வொரு பதிப்பிலும் ஸ்டெல்த் மற்றும் பைபாஸ் கண்டறிதல் அமைப்புகளை மேம்படுத்தும் சுத்திகரிப்புகள் உள்ளன. இருப்பினும், செப்டம்பர் 2023 இல் மத்திய கிழக்கின் எண்ணெய் மற்றும் எரிவாயு துறையில் உள்ள ஒரு நிறுவனத்தில் ரன்னர்பீக்கனின் தடயங்கள் ஏற்கனவே கண்டுபிடிக்கப்பட்டன, இது தொடர்ச்சியான வளர்ச்சி மற்றும் சோதனையைக் குறிக்கிறது.
நுட்பங்கள் மற்றும் பண்புக்கூறுகள்: பரிச்சயமானது ஆனால் உறுதிப்படுத்தப்படவில்லை.
AppDomainManager ஊசியின் பயன்பாடு நன்கு ஆவணப்படுத்தப்பட்ட ஒரு தந்திரோபாயமாகும், மேலும் இது முன்னர் சீன மற்றும் வட கொரிய அச்சுறுத்தல் நடிகர்களுடன் தொடர்புடைய சைபர் பிரச்சாரங்களில் காணப்பட்டது. இருப்பினும், நுட்பம் மற்றும் அணுகுமுறையில் ஒற்றுமைகள் இருந்தபோதிலும், OneClik பிரச்சாரத்தை எந்தவொரு அறியப்பட்ட குழுவிற்கும் காரணம் என்று ஆராய்ச்சியாளர்களால் உறுதியாகக் கூற முடியவில்லை.
சமரசத்தின் அறிகுறிகளை அடையாளம் காணும் வகையில், மோசடியான வன்பொருள் பகுப்பாய்வு வலைத்தளங்களுக்கு பெறுநர்களை வழிநடத்தும் ஃபிஷிங் மின்னஞ்சல்கள் குறித்து நிறுவனங்கள் எச்சரிக்கையாக இருக்க வேண்டும், ஏனெனில் இவை பெரும்பாலும் தாக்குதலுக்கான ஆரம்ப நுழைவுப் புள்ளிகளாகும். மற்றொரு சிவப்புக் கொடி dfsvc.exe செயல்முறை மூலம் தொடங்கப்பட்ட ClickOnce பயன்பாடுகளின் பயன்பாடு ஆகும், இது தீங்கிழைக்கும் பேலோடுகளின் இருப்பைக் குறிக்கலாம். AppDomainManager ஊசி நுட்பங்களின் சந்தேகத்திற்கிடமான வரிசைப்படுத்தல் மற்றும் Amazon Web Services (AWS) இல் ஹோஸ்ட் செய்யப்பட்ட தாக்குபவர் கட்டுப்படுத்தும் உள்கட்டமைப்பிற்கான வெளிச்செல்லும் இணைப்புகளும் சமரசத்தின் வலுவான குறிகாட்டிகளாகும்.
இத்தகைய அச்சுறுத்தல்களிலிருந்து பாதுகாக்க, நிறுவனங்கள் ClickOnce பயன்பாடுகளை முடக்குவது அல்லது நெருக்கமாக கண்காணிப்பது குறித்து பரிசீலிக்க வேண்டும், குறிப்பாக அதிக ஆபத்துள்ள சூழல்களில். dfsvc.exe இலிருந்து உருவாகும் அசாதாரண குழந்தை செயல்முறைகளை பாதுகாப்பு குழுக்கள் கண்காணிக்க வேண்டும், இது தீங்கிழைக்கும் செயல்பாட்டைக் குறிக்கலாம். எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில் (EDR) தீர்வுகளைப் பயன்படுத்துவது AppDomain ஊசி நடத்தைகளைக் கண்டறிந்து தணிக்க உதவும். கூடுதலாக, எதிர்பாராத ப்ராக்ஸி நடத்தை அல்லது போர்ட் ஃபார்வர்டிங் முயற்சிகள் போன்ற அசாதாரண நெறிமுறை பயன்பாட்டிற்கான நெட்வொர்க் போக்குவரத்தை ஆராய்வது, இரகசிய தொடர்பு சேனல்களைக் கண்டறிய உதவும்.
முடிவுரை
எதிரிகள் முறையான தொழில்நுட்பங்களை சுரண்டுவதற்கு தங்கள் தந்திரோபாயங்களை எவ்வாறு தொடர்ந்து செம்மைப்படுத்துகிறார்கள் என்பதை OneClik பிரச்சாரம் அடிக்கோடிட்டுக் காட்டுகிறது. முக்கியமான உள்கட்டமைப்புத் துறைகளுக்குள் உள்ள நிறுவனங்களுக்கு, விழிப்புடன் இருப்பதும், பல அடுக்கு பாதுகாப்பு பாதுகாப்புகளை செயல்படுத்துவதும் இத்தகைய மேம்பட்ட அச்சுறுத்தல்களின் தாக்கத்தைக் குறைப்பதில் இன்றியமையாததாக உள்ளது.
