มัลแวร์ OneClik
แคมเปญไซเบอร์ที่ซับซ้อนที่มีชื่อว่า OneClik กำลังกำหนดเป้าหมายไปที่ภาคพลังงาน น้ำมัน และก๊าซ โดยใช้การผสมผสานระหว่างวิธีการติดตั้งที่หลอกลวงและมัลแวร์ที่สร้างขึ้นเอง แก่นแท้ของปฏิบัติการนี้คือการละเมิดเทคโนโลยี ClickOnce ของ Microsoft และแบ็คดอร์ที่ทรงพลังซึ่งใช้ Golang ชื่อ RunnerBeacon แม้ว่าตัวบ่งชี้จะชี้ให้เห็นถึงความเชื่อมโยงที่เป็นไปได้กับผู้ก่อภัยคุกคามชาวจีน แต่การระบุแหล่งที่มายังคงไม่ชัดเจน
สารบัญ
ClickOnce: เครื่องมือการใช้งานแบบสองคม
ClickOnce ของ Microsoft ออกแบบมาเพื่อลดความยุ่งยากในการปรับใช้และอัปเดตแอปพลิเคชัน Windows ช่วยให้ติดตั้งได้โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ฟีเจอร์นี้เปิดตัวใน .NET Framework 2.0 ช่วยให้แอปพลิเคชันต่างๆ สามารถทำงานโดยมีสิทธิ์จำกัดโดยไม่ต้องใช้สิทธิ์ผู้ดูแลระบบ
น่าเสียดายที่ความสะดวกสบายนี้ทำให้ ClickOnce กลายเป็นทรัพย์สินที่มีค่าสำหรับอาชญากรไซเบอร์ แอปพลิเคชันที่เป็นอันตรายสามารถใช้งานได้โดยใช้ไบนารี Windows ที่เชื่อถือได้ (dfsvc.exe) ซึ่งจัดการแอปพลิเคชัน ClickOnce แอปพลิเคชันเหล่านี้ทำงานเป็นกระบวนการย่อยของ dfsvc.exe ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายอย่างลับๆ ได้โดยไม่ต้องแจ้งเตือนด้านความปลอดภัยหรือต้องการสิทธิ์ที่สูงกว่า
กลยุทธ์การแทรกซึม: ฟิชชิ่งและการหลอกลวง
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ออกแบบมาอย่างดีเพื่อล่อเหยื่อให้ไปที่ไซต์วิเคราะห์ฮาร์ดแวร์ปลอม เมื่อเหยื่อเยี่ยมชมไซต์ดังกล่าวแล้ว แอปพลิเคชัน ClickOnce ที่เป็นอันตรายจะถูกส่งและเปิดใช้งานโดยใช้ dfsvc.exe
ตัวโหลดนี้จะฉีดโค้ดที่เป็นอันตรายเข้าไปในหน่วยความจำโดยใช้เมธอดที่เรียกว่าการฉีดยา AppDomainManager ส่งผลให้มีการดำเนินการเชลล์โค้ดที่เข้ารหัส โหลดสุดท้ายคือ RunnerBeacon ซึ่งเป็นแบ็คดอร์ของ Golang ที่ซับซ้อน
RunnerBeacon: อุปกรณ์ปลูกถ่ายที่ทรงพลังและอเนกประสงค์
แบ็คดอร์ RunnerBeacon ถูกสร้างขึ้นเพื่อรองรับความสามารถที่หลากหลาย รวมถึง:
- การสื่อสารผ่านโปรโตคอลต่างๆ เช่น HTTP(S), WebSockets, TCP ดิบ และท่อที่มีชื่อ SMB
- การดำเนินการคำสั่งเชลล์และการดำเนินการระบบไฟล์
- การนับและการสิ้นสุดกระบวนการ
- การเพิ่มสิทธิพิเศษผ่านการขโมยโทเค็นและการแอบอ้างตัวตน
- การเคลื่อนไหวด้านข้างภายในเครือข่าย
นอกจากนี้ยังมีเทคนิคป้องกันการวิเคราะห์และการหลีกเลี่ยงขั้นสูง พร้อมทั้งรองรับการทำงานที่เน้นเครือข่าย เช่น การสแกนพอร์ต การส่งต่อพอร์ต และการใช้งานพร็อกซี SOCKS5
โคลนของ Geacon งั้นเหรอ?
RunnerBeacon แสดงให้เห็นถึงความคล้ายคลึงอย่างมากกับตัวแปร Cobalt Strike ที่ใช้ Go เช่น Geacon, Geacon Plus และ Geacon Pro โดยมีลักษณะโครงสร้างคำสั่ง คุณลักษณะการสื่อสารข้ามโปรโตคอล และความยืดหยุ่นในการทำงาน ลักษณะเหล่านี้บ่งชี้ว่า RunnerBeacon อาจเป็น Geacon ที่ปรับแต่งหรือพัฒนาแล้ว ซึ่งได้รับการปรับแต่งให้เข้ากับสภาพแวดล้อมคลาวด์ได้อย่างลงตัว
ภัยคุกคามที่พัฒนาขึ้น: ตรวจพบสายพันธุ์ต่างๆ มากมาย
นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุตัวแปร OneClik ที่แตกต่างกันสามตัวในเดือนมีนาคม 2025 เพียงเดือนเดียว:
- วี1เอ
- บีพีไอ-เอ็มดีเอ็ม
- วี1ดี
แต่ละเวอร์ชันมีการปรับปรุงเพื่อเพิ่มประสิทธิภาพระบบตรวจจับการแอบซ่อนและหลบเลี่ยง อย่างไรก็ตาม ร่องรอยของ RunnerBeacon ถูกค้นพบแล้วในเดือนกันยายน 2023 ที่บริษัทแห่งหนึ่งในภาคส่วนน้ำมันและก๊าซของตะวันออกกลาง ซึ่งบ่งชี้ถึงการพัฒนาและการทดสอบอย่างต่อเนื่อง
เทคนิคและการระบุแหล่งที่มา: คุ้นเคยแต่ไม่ได้รับการยืนยัน
การใช้การแทรก AppDomainManager เป็นกลวิธีที่มีการบันทึกข้อมูลไว้เป็นอย่างดีและเคยพบเห็นมาก่อนในแคมเปญทางไซเบอร์ที่เกี่ยวข้องกับผู้ก่อภัยคุกคามจากจีนและเกาหลีเหนือ อย่างไรก็ตาม แม้จะมีความคล้ายคลึงกันในเทคนิคและแนวทาง แต่บรรดานักวิจัยยังไม่สามารถระบุได้อย่างแน่ชัดว่าแคมเปญ OneClik เกี่ยวข้องกับกลุ่มใด
ในแง่ของการระบุสัญญาณของการประนีประนอม องค์กรต่างๆ ควรเฝ้าระวังอีเมลฟิชชิ่งที่ส่งผู้รับไปยังเว็บไซต์วิเคราะห์ฮาร์ดแวร์ปลอม เนื่องจากเว็บไซต์เหล่านี้มักเป็นจุดเข้าเริ่มต้นของการโจมตี สัญญาณเตือนอีกประการหนึ่งคือการใช้แอปพลิเคชัน ClickOnce ที่เปิดใช้งานผ่านกระบวนการ dfsvc.exe ซึ่งอาจบ่งชี้ถึงการมีอยู่ของเพย์โหลดที่เป็นอันตราย การใช้เทคนิคการแทรก AppDomainManager ที่น่าสงสัยและการเชื่อมต่อขาออกไปยังโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตีซึ่งโฮสต์บน Amazon Web Services (AWS) ก็เป็นตัวบ่งชี้การประนีประนอมที่ชัดเจนเช่นกัน
เพื่อป้องกันภัยคุกคามดังกล่าว องค์กรต่างๆ ควรพิจารณาปิดการใช้งานหรือเฝ้าติดตามการใช้งาน ClickOnce อย่างใกล้ชิด โดยเฉพาะในสภาพแวดล้อมที่มีความเสี่ยงสูง ทีมงานด้านความปลอดภัยควรเฝ้าระวังกระบวนการย่อยที่ผิดปกติซึ่งมาจาก dfsvc.exe ซึ่งอาจส่งสัญญาณถึงกิจกรรมที่เป็นอันตราย การใช้โซลูชันการตรวจจับและตอบสนองปลายทาง (EDR) สามารถช่วยระบุและลดพฤติกรรมการแทรก AppDomain ได้ นอกจากนี้ การตรวจสอบปริมาณการใช้งานเครือข่ายเพื่อดูการใช้โปรโตคอลที่ผิดปกติ เช่น พฤติกรรมพร็อกซีที่ไม่คาดคิดหรือความพยายามในการส่งต่อพอร์ต สามารถช่วยตรวจจับช่องทางการสื่อสารที่แอบแฝงได้
บทสรุป
แคมเปญ OneClik เน้นย้ำถึงวิธีการที่ผู้ไม่หวังดีพัฒนากลวิธีของตนอย่างต่อเนื่องเพื่อใช้ประโยชน์จากเทคโนโลยีที่ถูกต้องตามกฎหมาย สำหรับองค์กรภายในภาคส่วนโครงสร้างพื้นฐานที่สำคัญ การรักษาท่าทีที่ระมัดระวังและการนำการป้องกันความปลอดภัยหลายชั้นมาใช้ยังคงมีความจำเป็นในการลดผลกระทบของภัยคุกคามขั้นสูงดังกล่าว
