OneClik Malware

Ang isang sopistikadong cyber campaign na tinatawag na OneClik ay nagta-target sa mga sektor ng enerhiya, langis, at gas gamit ang kumbinasyon ng mga mapanlinlang na paraan ng pag-deploy at custom-built na malware. Sa gitna ng operasyong ito ay ang pang-aabuso ng ClickOnce na teknolohiya ng Microsoft at isang malakas na backdoor na nakabase sa Golang na pinangalanang RunnerBeacon. Bagama't nagmumungkahi ang mga tagapagpahiwatig ng posibleng link sa mga aktor ng pagbabanta ng Chinese, nananatiling pansamantala ang pagpapatungkol.

ClickOnce: Isang Double-Edged Deployment Tool

Ang ClickOnce ng Microsoft ay idinisenyo upang pasimplehin ang proseso ng pag-deploy at pag-update ng mga application ng Windows, na nagpapahintulot sa mga pag-install na may kaunting pakikipag-ugnayan ng user. Ipinakilala sa .NET Framework 2.0, ang tampok na ito ay nagbibigay-daan sa mga app na tumakbo nang may limitadong mga pahintulot nang hindi nangangailangan ng mga karapatang pang-administratibo.

Sa kasamaang palad, ang kaginhawaan na ito ay ginawa rin ang ClickOnce na isang mahalagang asset para sa mga cybercriminal. Maaaring i-deploy ang mga nakakahamak na application gamit ang pinagkakatiwalaang Windows binary (dfsvc.exe), na humahawak sa mga ClickOnce na app. Isinasagawa ang mga app na ito bilang proseso ng bata ng dfsvc.exe, na nagbibigay-daan sa mga umaatake na palihim na magpatakbo ng malisyosong code nang hindi nagtataas ng mga alarma sa seguridad o nangangailangan ng mga mataas na pribilehiyo.

Mga Taktika sa Paglusot: Phishing at Panlilinlang

Nagsisimula ang chain ng pag-atake sa mga email na phishing na mahusay na ginawa na umaakit sa mga biktima sa isang pekeng site ng pagsusuri ng hardware. Kapag binisita ng biktima ang site, ang isang nakakahamak na ClickOnce na application ay inihahatid at inilulunsad gamit ang dfsvc.exe.

Ang loader na ito ay nag-inject ng malisyosong code sa memorya gamit ang isang paraan na kilala bilang AppDomainManager injection, na nagreresulta sa pagpapatupad ng isang naka-encrypt na shellcode. Ang ultimate payload ay RunnerBeacon, isang sopistikadong Golang backdoor.

RunnerBeacon: Isang Makapangyarihan at Maraming Nagagawa na Implant

Ang backdoor ng RunnerBeacon ay binuo upang suportahan ang isang malawak na hanay ng mga kakayahan, kabilang ang:

• Komunikasyon sa maraming protocol: HTTP(S), WebSockets, raw TCP, at SMB na pinangalanang mga pipe
• Pagpapatupad ng mga shell command at pagpapatakbo ng file system
• Proseso ng enumeration at pagwawakas
• Pagtaas ng pribilehiyo sa pamamagitan ng pagnanakaw ng token at pagpapanggap
• Lateral na paggalaw sa loob ng isang network

Nagtatampok din ito ng mga advanced na anti-analysis at evasion techniques, kasama ang suporta para sa network-centric na operasyon tulad ng port scanning, port forwarding, at SOCKS5 proxying.

Isang Clone ng Geacon?

Ang RunnerBeacon ay nagpapakita ng matinding pagkakatulad sa mga variant ng Go-based na Cobalt Strike tulad ng Geacon, Geacon Plus, at Geacon Pro. Sinasalamin nito ang kanilang mga command structure, cross-protocol na mga feature ng komunikasyon, at operational flexibility. Iminumungkahi ng mga katangiang ito na ang RunnerBeacon ay maaaring isang customized o evolved na tinidor ng Geacon, na pino upang magkahalo nang walang putol sa mga cloud environment.

Nagbabagong Banta: Maramihang Variant ang Nakita

Tinukoy ng mga mananaliksik ng Cybersecurity ang tatlong natatanging variant ng OneClik noong Marso 2025 lamang:

• v1a
• BPI-MDM
• v1d

Kasama sa bawat bersyon ang mga refinement na nagpapahusay sa stealth at bypass detection system. Gayunpaman, ang mga bakas ng RunnerBeacon ay natuklasan na noong Setyembre 2023 sa isang kumpanya sa sektor ng langis at gas ng Middle East, na nagpapahiwatig ng patuloy na pag-unlad at pagsubok.

Mga Teknik at Pagpapatungkol: Pamilyar ngunit Hindi Nakumpirma

Ang paggamit ng AppDomainManager injection ay isang mahusay na dokumentadong taktika at dati nang naobserbahan sa mga cyber campaign na nauugnay sa mga aktor ng pagbabanta ng Chinese at North Korea. Gayunpaman, sa kabila ng mga pagkakatulad sa pamamaraan at diskarte, ang mga mananaliksik ay hindi nagawang tiyaking maiugnay ang kampanya ng OneClik sa anumang kilalang grupo.

Sa mga tuntunin ng pagtukoy ng mga senyales ng kompromiso, dapat na maging alerto ang mga organisasyon para sa mga phishing na email na nagdidirekta sa mga tatanggap sa mga mapanlinlang na website ng pagsusuri ng hardware, dahil ito ang kadalasang mga unang entry point para sa pag-atake. Ang isa pang pulang bandila ay ang paggamit ng mga ClickOnce na application na inilunsad sa pamamagitan ng proseso ng dfsvc.exe, na maaaring magpahiwatig ng pagkakaroon ng mga nakakahamak na payload. Ang kahina-hinalang pag-deploy ng mga diskarte sa pag-iniksyon ng AppDomainManager at mga papalabas na koneksyon sa imprastraktura na kinokontrol ng attacker na naka-host sa Amazon Web Services (AWS) ay malakas ding mga tagapagpahiwatig ng kompromiso.

Upang ipagtanggol laban sa gayong mga banta, dapat isaalang-alang ng mga negosyo ang hindi pagpapagana o malapit na pagsubaybay sa mga pag-deploy ng ClickOnce, lalo na sa mga kapaligirang may mataas na peligro. Dapat bantayan ng mga security team ang mga maanomalyang proseso ng bata na nagmumula sa dfsvc.exe, na maaaring magpahiwatig ng malisyosong aktibidad. Makakatulong ang pag-deploy ng mga solusyon sa endpoint detection and response (EDR) sa pagtukoy at pagpapagaan ng mga gawi sa pag-iniksyon ng AppDomain. Bilang karagdagan, ang pagsusuri sa trapiko sa network para sa hindi pangkaraniwang paggamit ng protocol, tulad ng hindi inaasahang pagkilos ng proxy o mga pagtatangka sa pagpapasa ng port, ay maaaring makatulong sa pag-detect ng mga patagong channel ng komunikasyon.

Konklusyon

Binibigyang-diin ng kampanya ng OneClik kung paano patuloy na pinipino ng mga kalaban ang kanilang mga taktika upang pagsamantalahan ang mga lehitimong teknolohiya. Para sa mga organisasyon sa loob ng mga kritikal na sektor ng imprastraktura, ang pagpapanatili ng isang mapagbantay na pustura at pagpapatupad ng mga multi-layered na panseguridad na panlaban ay nananatiling mahalaga sa pagpapagaan ng epekto ng naturang mga advanced na banta.