OneClik మాల్వేర్

వన్‌క్లిక్ అని పిలువబడే ఒక అధునాతన సైబర్ ప్రచారం మోసపూరిత విస్తరణ పద్ధతులు మరియు కస్టమ్-బిల్ట్ మాల్వేర్ మిశ్రమాన్ని ఉపయోగించి శక్తి, చమురు మరియు గ్యాస్ రంగాలను లక్ష్యంగా చేసుకుంటోంది. ఈ ఆపరేషన్ యొక్క ప్రధాన అంశం మైక్రోసాఫ్ట్ యొక్క క్లిక్‌వన్స్ టెక్నాలజీ దుర్వినియోగం మరియు రన్నర్‌బీకాన్ అనే శక్తివంతమైన గోలాంగ్ ఆధారిత బ్యాక్‌డోర్. సూచికలు చైనీస్ ముప్పు నటులతో సంభావ్య సంబంధాన్ని సూచిస్తున్నప్పటికీ, ఆరోపణ తాత్కాలికంగానే ఉంది.

క్లిక్‌వన్స్: రెండు అంచుల విస్తరణ సాధనం

మైక్రోసాఫ్ట్ యొక్క క్లిక్‌వన్స్ అనేది విండోస్ అప్లికేషన్‌ల విస్తరణ మరియు నవీకరణ ప్రక్రియను సులభతరం చేయడానికి రూపొందించబడింది, ఇది కనీస వినియోగదారు పరస్పర చర్యతో ఇన్‌స్టాలేషన్‌లను అనుమతిస్తుంది. .NET ఫ్రేమ్‌వర్క్ 2.0లో ప్రవేశపెట్టబడిన ఈ ఫీచర్, అడ్మినిస్ట్రేటివ్ హక్కులు అవసరం లేకుండా పరిమిత అనుమతులతో యాప్‌లను అమలు చేయడానికి వీలు కల్పిస్తుంది.

దురదృష్టవశాత్తు, ఈ సౌలభ్యం క్లిక్‌ఒన్స్‌ను సైబర్ నేరస్థులకు విలువైన ఆస్తిగా మార్చింది. క్లిక్‌ఒన్స్ యాప్‌లను నిర్వహించే విశ్వసనీయ విండోస్ బైనరీ (dfsvc.exe) ఉపయోగించి హానికరమైన అప్లికేషన్‌లను అమలు చేయవచ్చు. ఈ యాప్‌లు dfsvc.exe యొక్క చైల్డ్ ప్రాసెస్‌గా అమలు చేయబడతాయి, దాడి చేసేవారు భద్రతా అలారాలను పెంచకుండా లేదా అధిక అధికారాలు అవసరం లేకుండా రహస్యంగా హానికరమైన కోడ్‌ను అమలు చేయడానికి వీలు కల్పిస్తుంది.

చొరబాటు వ్యూహాలు: ఫిషింగ్ మరియు మోసం

ఈ దాడి గొలుసు బాగా రూపొందించిన ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతుంది, ఇవి బాధితులను నకిలీ హార్డ్‌వేర్ విశ్లేషణ సైట్‌కు ఆకర్షిస్తాయి. బాధితుడు సైట్‌ను సందర్శించిన తర్వాత, dfsvc.exe ఉపయోగించి హానికరమైన ClickOnce అప్లికేషన్ డెలివరీ చేయబడుతుంది మరియు ప్రారంభించబడుతుంది.

ఈ లోడర్ AppDomainManager ఇంజెక్షన్ అనే పద్ధతిని ఉపయోగించి మెమరీలోకి హానికరమైన కోడ్‌ను ఇంజెక్ట్ చేస్తుంది, ఫలితంగా ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ అమలు అవుతుంది. అంతిమ పేలోడ్ రన్నర్‌బీకాన్, ఇది అధునాతన గోలాంగ్ బ్యాక్‌డోర్.

రన్నర్ బీకాన్: శక్తివంతమైన మరియు బహుముఖ ప్రజ్ఞ కలిగిన ఇంప్లాంట్

రన్నర్‌బీకాన్ బ్యాక్‌డోర్ విస్తృత శ్రేణి సామర్థ్యాలకు మద్దతు ఇవ్వడానికి నిర్మించబడింది, వాటిలో:

• బహుళ ప్రోటోకాల్‌లపై కమ్యూనికేషన్: HTTP(S), వెబ్‌సాకెట్లు, ముడి TCP మరియు SMB పేరున్న పైపులు
• షెల్ ఆదేశాలు మరియు ఫైల్ సిస్టమ్ కార్యకలాపాల అమలు
• ప్రక్రియ గణన మరియు ముగింపు
• టోకెన్ దొంగతనం మరియు వంచన ద్వారా ప్రత్యేక హక్కుల పెరుగుదల
• నెట్‌వర్క్ లోపల పార్శ్వ కదలిక

ఇది పోర్ట్ స్కానింగ్, పోర్ట్ ఫార్వార్డింగ్ మరియు SOCKS5 ప్రాక్సింగ్ వంటి నెట్‌వర్క్-సెంట్రిక్ కార్యకలాపాలకు మద్దతుతో పాటు అధునాతన యాంటీ-అనాలిసిస్ మరియు ఎగవేత పద్ధతులను కూడా కలిగి ఉంది.

గీకాన్ యొక్క క్లోన్?

రన్నర్‌బీకాన్, గీకాన్ ప్లస్ మరియు గీకాన్ ప్రో వంటి గో-ఆధారిత కోబాల్ట్ స్ట్రైక్ వేరియంట్‌లకు బలమైన సారూప్యతలను ప్రదర్శిస్తుంది. ఇది వాటి కమాండ్ స్ట్రక్చర్‌లు, క్రాస్-ప్రోటోకాల్ కమ్యూనికేషన్ ఫీచర్‌లు మరియు ఆపరేషనల్ ఫ్లెక్సిబిలిటీని ప్రతిబింబిస్తుంది. ఈ లక్షణాలు రన్నర్‌బీకాన్ అనేది గీకాన్ యొక్క అనుకూలీకరించిన లేదా అభివృద్ధి చెందిన ఫోర్క్ కావచ్చు, క్లౌడ్ ఎన్విరాన్‌మెంట్‌లలో సజావుగా కలపడానికి శుద్ధి చేయబడిందని సూచిస్తున్నాయి.

అభివృద్ధి చెందుతున్న ముప్పు: బహుళ వైవిధ్యాలు కనుగొనబడ్డాయి

సైబర్ సెక్యూరిటీ పరిశోధకులు మార్చి 2025 లోనే మూడు విభిన్న OneClik వేరియంట్‌లను గుర్తించారు:

• v1a తెలుగు in లో
• బిపిఐ-ఎండిఎం
• v1d తెలుగు in లో

ప్రతి వెర్షన్‌లో స్టెల్త్ మరియు బైపాస్ డిటెక్షన్ సిస్టమ్‌లను మెరుగుపరిచే మెరుగుదలలు ఉంటాయి. అయితే, మిడిల్ ఈస్ట్‌లోని చమురు మరియు గ్యాస్ రంగంలోని ఒక కంపెనీలో సెప్టెంబర్ 2023లో రన్నర్‌బీకాన్ జాడలు ఇప్పటికే కనుగొనబడ్డాయి, ఇది కొనసాగుతున్న అభివృద్ధి మరియు పరీక్షను సూచిస్తుంది.

టెక్నిక్‌లు మరియు లక్షణం: సుపరిచితమే కానీ నిర్ధారించబడలేదు

AppDomainManager ఇంజెక్షన్ వాడకం అనేది బాగా డాక్యుమెంట్ చేయబడిన వ్యూహం మరియు ఇది గతంలో చైనీస్ మరియు ఉత్తర కొరియా బెదిరింపు నటులతో సంబంధం ఉన్న సైబర్ ప్రచారాలలో గమనించబడింది. అయితే, సాంకేతికత మరియు విధానంలో సారూప్యతలు ఉన్నప్పటికీ, పరిశోధకులు OneClik ప్రచారాన్ని ఏ తెలిసిన సమూహానికి ఆపాదించలేకపోయారు.

రాజీ సంకేతాలను గుర్తించే విషయంలో, మోసపూరిత హార్డ్‌వేర్ విశ్లేషణ వెబ్‌సైట్‌లకు గ్రహీతలను మళ్లించే ఫిషింగ్ ఇమెయిల్‌ల పట్ల సంస్థలు అప్రమత్తంగా ఉండాలి, ఎందుకంటే ఇవి తరచుగా దాడికి ప్రారంభ ప్రవేశ పాయింట్లు. మరొక ఎర్ర జెండా ఏమిటంటే dfsvc.exe ప్రక్రియ ద్వారా ప్రారంభించబడిన ClickOnce అప్లికేషన్‌ల వాడకం, ఇది హానికరమైన పేలోడ్‌ల ఉనికిని సూచిస్తుంది. AppDomainManager ఇంజెక్షన్ టెక్నిక్‌ల అనుమానాస్పద విస్తరణ మరియు అమెజాన్ వెబ్ సర్వీసెస్ (AWS)లో హోస్ట్ చేయబడిన దాడి చేసేవారి-నియంత్రిత మౌలిక సదుపాయాలకు అవుట్‌బౌండ్ కనెక్షన్‌లు కూడా రాజీకి బలమైన సూచికలు.

అటువంటి బెదిరింపుల నుండి రక్షించుకోవడానికి, సంస్థలు క్లిక్‌వన్స్ విస్తరణలను నిలిపివేయడం లేదా నిశితంగా పర్యవేక్షించడాన్ని పరిగణించాలి, ముఖ్యంగా అధిక-రిస్క్ వాతావరణాలలో. భద్రతా బృందాలు dfsvc.exe నుండి ఉత్పన్నమయ్యే అసాధారణ చైల్డ్ ప్రక్రియల కోసం గమనించాలి, ఇది హానికరమైన కార్యాచరణను సూచిస్తుంది. ఎండ్‌పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) పరిష్కారాలను అమలు చేయడం AppDomain ఇంజెక్షన్ ప్రవర్తనలను గుర్తించడంలో మరియు తగ్గించడంలో సహాయపడుతుంది. అదనంగా, ఊహించని ప్రాక్సీ ప్రవర్తన లేదా పోర్ట్ ఫార్వార్డింగ్ ప్రయత్నాలు వంటి అసాధారణ ప్రోటోకాల్ ఉపయోగం కోసం నెట్‌వర్క్ ట్రాఫిక్‌ను పరిశీలించడం, రహస్య కమ్యూనికేషన్ ఛానెల్‌లను గుర్తించడంలో సహాయపడుతుంది.

ముగింపు

వన్‌క్లిక్ ప్రచారం, ప్రత్యర్థులు చట్టబద్ధమైన సాంకేతిక పరిజ్ఞానాన్ని ఉపయోగించుకోవడానికి తమ వ్యూహాలను నిరంతరం ఎలా మెరుగుపరుచుకుంటున్నారో నొక్కి చెబుతుంది. కీలకమైన మౌలిక సదుపాయాల రంగాలలోని సంస్థలకు, అప్రమత్తమైన భంగిమను నిర్వహించడం మరియు బహుళ-స్థాయి భద్రతా రక్షణలను అమలు చేయడం అటువంటి అధునాతన ముప్పుల ప్రభావాన్ని తగ్గించడంలో చాలా అవసరం.