Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım OneClik Kötü Amaçlı Yazılım

OneClik Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım'de
Çevir:

OneClik adlı karmaşık bir siber kampanya, aldatıcı dağıtım yöntemleri ve özel olarak oluşturulmuş kötü amaçlı yazılımların bir karışımını kullanarak enerji, petrol ve gaz sektörlerini hedef alıyor. Bu operasyonun merkezinde Microsoft'un ClickOnce teknolojisinin kötüye kullanımı ve RunnerBeacon adlı güçlü bir Golang tabanlı arka kapı yer alıyor. Göstergeler Çinli tehdit aktörleriyle olası bir bağlantı olduğunu gösterse de, atıf belirsizliğini koruyor.

ClickOnce: Çift Taraflı Bir Dağıtım Aracı

Microsoft'un ClickOnce'ı, Windows uygulamalarının dağıtım ve güncelleme sürecini basitleştirmek ve minimum kullanıcı etkileşimiyle kurulumlara izin vermek için tasarlanmıştır. .NET Framework 2.0'da tanıtılan bu özellik, uygulamaların yönetici hakları gerektirmeden sınırlı izinlerle çalışmasını sağlar.

Ne yazık ki bu kolaylık, ClickOnce'ı siber suçlular için değerli bir varlık haline getirmiştir. Kötü amaçlı uygulamalar, ClickOnce uygulamalarını yöneten güvenilir bir Windows ikili dosyası (dfsvc.exe) kullanılarak dağıtılabilir. Bu uygulamalar, dfsvc.exe'nin bir alt işlemi olarak yürütülür ve saldırganların güvenlik alarmları vermeden veya yükseltilmiş ayrıcalıklara ihtiyaç duymadan kötü amaçlı kodu gizlice çalıştırmalarına olanak tanır.

Sızma Taktikleri: Kimlik Avı ve Aldatma

Saldırı zinciri, kurbanları sahte bir donanım analiz sitesine çeken iyi hazırlanmış kimlik avı e-postalarıyla başlar. Kurban siteyi ziyaret ettiğinde, kötü amaçlı bir ClickOnce uygulaması gönderilir ve dfsvc.exe kullanılarak başlatılır.

Bu yükleyici, AppDomainManager enjeksiyonu olarak bilinen bir yöntem kullanarak belleğe kötü amaçlı kod enjekte eder ve şifrelenmiş bir kabuk kodunun yürütülmesiyle sonuçlanır. Nihai yük, karmaşık bir Golang arka kapısı olan RunnerBeacon'dır.

RunnerBeacon: Güçlü ve Çok Yönlü Bir İmplant

RunnerBeacon arka kapısı, aşağıdakiler de dahil olmak üzere çok çeşitli yetenekleri desteklemek için oluşturulmuştur:

  • Birden fazla protokol üzerinden iletişim: HTTP(S), WebSockets, ham TCP ve SMB adlandırılmış kanalları
  • Kabuk komutlarının ve dosya sistemi işlemlerinin yürütülmesi
  • İşlem sayımı ve sonlandırma
  • Jeton hırsızlığı ve taklit yoluyla ayrıcalık yükseltme
  • Bir ağ içinde yanal hareket

Ayrıca, port tarama, port yönlendirme ve SOCKS5 proxy'si gibi ağ merkezli işlemleri desteklemenin yanı sıra gelişmiş anti-analiz ve kaçınma tekniklerine de sahiptir.

Geacon’un Bir Klonu Mu?

RunnerBeacon, Geacon, Geacon Plus ve Geacon Pro gibi Go tabanlı Cobalt Strike varyantlarına güçlü benzerlikler gösterir. Komuta yapılarını, çapraz protokol iletişim özelliklerini ve operasyonel esnekliği yansıtır. Bu özellikler, RunnerBeacon'ın bulut ortamlarına sorunsuz bir şekilde uyum sağlayacak şekilde rafine edilmiş, özelleştirilmiş veya gelişmiş bir Geacon çatalı olabileceğini düşündürmektedir.

Gelişen Tehdit: Birden Fazla Varyant Tespit Edildi

Siber güvenlik araştırmacıları yalnızca Mart 2025'te üç farklı OneClik varyantı tespit etti:

  • v1a
  • BPI-MDM
  • v1d

Her versiyon, gizliliği ve bypass algılama sistemlerini geliştiren iyileştirmeler içeriyor. Ancak RunnerBeacon'ın izleri, Eylül 2023'te Orta Doğu'nun petrol ve gaz sektöründeki bir şirkette keşfedildi ve bu da devam eden geliştirme ve testlere işaret ediyor.

Teknikler ve Atıf: Tanıdık ama Doğrulanmamış

AppDomainManager enjeksiyonunun kullanımı iyi belgelenmiş bir taktiktir ve daha önce Çin ve Kuzey Kore tehdit aktörleriyle ilişkili siber kampanyalarda gözlemlenmiştir. Ancak teknik ve yaklaşımdaki benzerliklere rağmen araştırmacılar OneClik kampanyasını kesin olarak bilinen herhangi bir gruba bağlayamamıştır.

Tehlike belirtilerini belirleme açısından, kuruluşlar alıcıları sahte donanım analiz web sitelerine yönlendiren kimlik avı e-postalarına karşı tetikte olmalıdır, çünkü bunlar genellikle saldırının ilk giriş noktalarıdır. Bir diğer kırmızı bayrak, kötü amaçlı yüklerin varlığını gösterebilecek dfsvc.exe işlemi aracılığıyla başlatılan ClickOnce uygulamalarının kullanılmasıdır. AppDomainManager enjeksiyon tekniklerinin şüpheli dağıtımı ve Amazon Web Services'ta (AWS) barındırılan saldırgan kontrollü altyapıya giden bağlantılar da tehlikenin güçlü göstergeleridir.

Bu tür tehditlere karşı savunmak için, işletmeler özellikle yüksek riskli ortamlarda ClickOnce dağıtımlarını devre dışı bırakmayı veya yakından izlemeyi düşünmelidir. Güvenlik ekipleri, kötü amaçlı etkinliği işaret edebilecek dfsvc.exe'den kaynaklanan anormal alt süreçleri izlemelidir. Uç nokta algılama ve yanıt (EDR) çözümlerini dağıtmak, AppDomain enjeksiyon davranışlarını belirlemeye ve azaltmaya yardımcı olabilir. Ayrıca, beklenmeyen proxy davranışı veya bağlantı noktası yönlendirme girişimleri gibi olağandışı protokol kullanımı için ağ trafiğini incelemek, gizli iletişim kanallarını tespit etmeye yardımcı olabilir.

Çözüm

OneClik kampanyası, saldırganların meşru teknolojileri istismar etmek için taktiklerini sürekli olarak nasıl geliştirdiklerini vurguluyor. Kritik altyapı sektörlerindeki kuruluşlar için, bu tür gelişmiş tehditlerin etkisini azaltmada dikkatli bir duruş sergilemek ve çok katmanlı güvenlik savunmaları uygulamak önemli olmaya devam ediyor.

 

trend

En çok görüntülenen

Yükleniyor...