Шкідливе програмне забезпечення OneClick
Складна кіберкампанія під назвою OneClik спрямована на енергетичний, нафтогазовий сектори, використовуючи поєднання оманливих методів розгортання та спеціально розробленого шкідливого програмного забезпечення. В основі цієї операції лежить зловживання технологією ClickOnce від Microsoft та потужним бекдором на базі Golang під назвою RunnerBeacon. Хоча деякі показники вказують на можливий зв'язок з китайськими зловмисниками, атрибуція залишається невизначеною.
Зміст
ClickOnce: Двосторонній інструмент розгортання
Функція ClickOnce від Microsoft розроблена для спрощення процесу розгортання та оновлення програм Windows, що дозволяє здійснювати встановлення з мінімальною взаємодією з користувачем. Ця функція, представлена в .NET Framework 2.0, дозволяє програмам запускатися з обмеженими дозволами без необхідності прав адміністратора.
На жаль, ця зручність також зробила ClickOnce цінним активом для кіберзлочинців. Шкідливі програми можна розгортати за допомогою надійного бінарного файлу Windows (dfsvc.exe), який обробляє програми ClickOnce. Ці програми виконуються як дочірній процес dfsvc.exe, що дозволяє зловмисникам непомітно запускати шкідливий код без спрацьовування тривоги безпеки та необхідності підвищених прав.
Тактики проникнення: фішинг та обман
Ланцюг атаки починається з добре сформульованих фішингових електронних листів, які заманюють жертв на підроблений сайт аналізу обладнання. Щойно жертва відвідує сайт, шкідливий додаток ClickOnce доставляється та запускається за допомогою dfsvc.exe.
Цей завантажувач впроваджує шкідливий код у пам'ять за допомогою методу, відомого як ін'єкція AppDomainManager, що призводить до виконання зашифрованого шелл-коду. Найважливішим корисним навантаженням є RunnerBeacon, складний бекдор Golang.
RunnerBeacon: Потужний та універсальний імплантат
Бекдор RunnerBeacon створений для підтримки широкого спектру можливостей, зокрема:
- Зв'язок через кілька протоколів: HTTP(S), WebSockets, необроблений TCP та іменовані канали SMB
- Виконання команд оболонки та операцій файлової системи
- Перерахування та завершення процесів
- Ескалація привілеїв через крадіжку токенів та видавання себе за іншу особу
- Латеральний рух у мережі
Він також має розширені методи антианалізу та ухилення від перевірки, а також підтримку мережеорієнтованих операцій, таких як сканування портів, переадресація портів та проксування SOCKS5.
Клон Гікона?
RunnerBeacon демонструє значну схожість з варіантами Cobalt Strike на базі Go, такими як Geacon, Geacon Plus та Geacon Pro. Він відображає їхні структури команд, функції кроспротокольного зв'язку та операційну гнучкість. Ці риси свідчать про те, що RunnerBeacon може бути налаштованим або розвиненим форком Geacon, удосконаленим для бездоганної інтеграції в хмарні середовища.
Загроза, що розвивається: виявлено кілька варіантів
Дослідники з кібербезпеки лише у березні 2025 року виявили три різні варіанти OneClik:
- версія 1а
- BPI-MDM
- версія 1d
Кожна версія містить удосконалення, що покращують роботу систем скритності та обходу виявлення. Однак сліди RunnerBeacon вже були виявлені у вересні 2023 року в компанії нафтогазового сектору Близького Сходу, що свідчить про постійні розробки та випробування.
Методи та атрибуція: знайомі, але непідтверджені
Використання ін'єкції AppDomainManager — це добре задокументована тактика, яку раніше спостерігали в кіберкампаніях, пов'язаних з китайськими та північнокорейськими зловмисниками. Однак, незважаючи на схожість у техніці та підході, дослідники не змогли остаточно приписати кампанію OneClik жодній відомій групі.
Щодо виявлення ознак компрометації, організації повинні бути напоготові щодо фішингових електронних листів, які перенаправляють одержувачів на шахрайські веб-сайти для аналізу обладнання, оскільки вони часто є початковими точками входу для атаки. Ще одним тривожним сигналом є використання програм ClickOnce, запущених через процес dfsvc.exe, що може свідчити про наявність шкідливих корисних навантажень. Підозріле розгортання методів ін'єкції AppDomainManager та вихідні з'єднання з інфраструктурою, контрольованою зловмисником, розміщеною на Amazon Web Services (AWS), також є вагомими показниками компрометації.
Щоб захиститися від таких загроз, підприємствам слід розглянути можливість вимкнення або ретельного моніторингу розгортань ClickOnce, особливо в середовищах з високим рівнем ризику. Команди безпеки повинні стежити за аномальними дочірніми процесами, що виникають з dfsvc.exe, які можуть сигналізувати про шкідливу активність. Розгортання рішень для виявлення та реагування на кінцеві точки (EDR) може допомогти у виявленні та пом'якшенні поведінки, пов'язаної з ін'єкцією AppDomain. Крім того, перевірка мережевого трафіку на наявність незвичайного використання протоколу, такого як неочікувана поведінка проксі-сервера або спроби переадресації портів, може допомогти у виявленні прихованих каналів зв'язку.
Висновок
Кампанія OneClik підкреслює, як зловмисники постійно вдосконалюють свою тактику використання легітимних технологій. Для організацій у секторах критичної інфраструктури підтримка пильності та впровадження багаторівневих засобів захисту залишаються важливими для пом'якшення впливу таких передових загроз.
