Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại OneClik

Phần mềm độc hại OneClik

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Một chiến dịch mạng tinh vi có tên OneClik đang nhắm vào các ngành năng lượng, dầu khí bằng cách kết hợp các phương pháp triển khai lừa đảo và phần mềm độc hại được xây dựng riêng. Trọng tâm của hoạt động này là việc lạm dụng công nghệ ClickOnce của Microsoft và một cửa hậu mạnh mẽ dựa trên Golang có tên là RunnerBeacon. Mặc dù các chỉ số cho thấy có thể có mối liên hệ với các tác nhân đe dọa từ Trung Quốc, nhưng việc xác định vẫn còn chưa chắc chắn.

ClickOnce: Một công cụ triển khai hai mặt

ClickOnce của Microsoft được thiết kế để đơn giản hóa quá trình triển khai và cập nhật các ứng dụng Windows, cho phép cài đặt với tương tác tối thiểu của người dùng. Được giới thiệu trong .NET Framework 2.0, tính năng này cho phép các ứng dụng chạy với quyền hạn hạn chế mà không yêu cầu quyền quản trị.

Thật không may, sự tiện lợi này cũng khiến ClickOnce trở thành một tài sản có giá trị đối với tội phạm mạng. Các ứng dụng độc hại có thể được triển khai bằng cách sử dụng tệp nhị phân Windows đáng tin cậy (dfsvc.exe), xử lý các ứng dụng ClickOnce. Các ứng dụng này được thực thi như một quy trình con của dfsvc.exe, cho phép kẻ tấn công chạy mã độc một cách lén lút mà không cần báo động bảo mật hoặc cần các đặc quyền nâng cao.

Chiến thuật xâm nhập: Lừa đảo và lừa đảo

Chuỗi tấn công bắt đầu bằng các email lừa đảo được thiết kế khéo léo để dụ nạn nhân đến một trang web phân tích phần cứng giả mạo. Khi nạn nhân truy cập trang web, một ứng dụng ClickOnce độc hại sẽ được phân phối và khởi chạy bằng dfsvc.exe.

Bộ tải này đưa mã độc vào bộ nhớ bằng phương pháp được gọi là AppDomainManager injection, dẫn đến việc thực thi shellcode được mã hóa. Tải trọng cuối cùng là RunnerBeacon, một backdoor Golang tinh vi.

RunnerBeacon: Một thiết bị cấy ghép mạnh mẽ và đa năng

Cửa sau RunnerBeacon được xây dựng để hỗ trợ nhiều khả năng khác nhau, bao gồm:

  • Giao tiếp qua nhiều giao thức: HTTP(S), WebSockets, TCP thô và đường ống có tên SMB
  • Thực hiện các lệnh shell và hoạt động hệ thống tập tin
  • Quá trình liệt kê và chấm dứt
  • Leo thang đặc quyền thông qua trộm cắp mã thông báo và mạo danh
  • Chuyển động ngang trong mạng lưới

Nó cũng có các kỹ thuật chống phân tích và tránh né tiên tiến, cùng với hỗ trợ cho các hoạt động tập trung vào mạng như quét cổng, chuyển tiếp cổng và proxy SOCKS5.

Một bản sao của Geacon?

RunnerBeacon thể hiện sự tương đồng mạnh mẽ với các biến thể Cobalt Strike dựa trên Go như Geacon, Geacon Plus và Geacon Pro. Nó phản ánh cấu trúc lệnh, tính năng giao tiếp xuyên giao thức và tính linh hoạt trong hoạt động của chúng. Những đặc điểm này cho thấy RunnerBeacon có thể là một nhánh tùy chỉnh hoặc phát triển của Geacon, được tinh chỉnh để hòa nhập liền mạch vào môi trường đám mây.

Mối đe dọa đang phát triển: Nhiều biến thể được phát hiện

Chỉ riêng trong tháng 3 năm 2025, các nhà nghiên cứu an ninh mạng đã xác định được ba biến thể OneClik riêng biệt:

  • v1a
  • BPI-MDM
  • v1d

Mỗi phiên bản đều bao gồm các cải tiến giúp tăng cường hệ thống phát hiện tàng hình và bỏ qua. Tuy nhiên, dấu vết của RunnerBeacon đã được phát hiện vào tháng 9 năm 2023 tại một công ty trong lĩnh vực dầu khí Trung Đông, cho thấy quá trình phát triển và thử nghiệm đang diễn ra.

Kỹ thuật và sự quy kết: quen thuộc nhưng chưa được xác nhận

Việc sử dụng AppDomainManager injection là một chiến thuật được ghi chép rõ ràng và đã từng được quan sát thấy trong các chiến dịch mạng liên quan đến các tác nhân đe dọa từ Trung Quốc và Bắc Triều Tiên. Tuy nhiên, mặc dù có sự tương đồng về kỹ thuật và cách tiếp cận, các nhà nghiên cứu vẫn chưa thể kết luận chiến dịch OneClik thuộc về bất kỳ nhóm nào đã biết.

Về việc xác định dấu hiệu xâm phạm, các tổ chức nên cảnh giác với các email lừa đảo hướng người nhận đến các trang web phân tích phần cứng gian lận, vì đây thường là điểm vào ban đầu của cuộc tấn công. Một dấu hiệu cảnh báo khác là việc sử dụng các ứng dụng ClickOnce được khởi chạy thông qua quy trình dfsvc.exe, có thể chỉ ra sự hiện diện của các tải trọng độc hại. Việc triển khai đáng ngờ các kỹ thuật tiêm AppDomainManager và các kết nối ra ngoài đến cơ sở hạ tầng do kẻ tấn công kiểm soát được lưu trữ trên Amazon Web Services (AWS) cũng là những dấu hiệu xâm phạm mạnh mẽ.

Để chống lại các mối đe dọa như vậy, các doanh nghiệp nên cân nhắc vô hiệu hóa hoặc theo dõi chặt chẽ các triển khai ClickOnce, đặc biệt là trong các môi trường có rủi ro cao. Các nhóm bảo mật nên theo dõi các quy trình con bất thường bắt nguồn từ dfsvc.exe, có thể báo hiệu hoạt động độc hại. Triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) có thể giúp xác định và giảm thiểu các hành vi tiêm AppDomain. Ngoài ra, việc kiểm tra lưu lượng mạng để tìm giao thức sử dụng bất thường, chẳng hạn như hành vi proxy không mong muốn hoặc các nỗ lực chuyển tiếp cổng, có thể hỗ trợ phát hiện các kênh truyền thông bí mật.

Phần kết luận

Chiến dịch OneClik nhấn mạnh cách kẻ thù liên tục cải tiến chiến thuật của chúng để khai thác các công nghệ hợp pháp. Đối với các tổ chức trong các lĩnh vực cơ sở hạ tầng quan trọng, việc duy trì tư thế cảnh giác và triển khai các biện pháp phòng thủ an ninh nhiều lớp vẫn là điều cần thiết để giảm thiểu tác động của các mối đe dọa tiên tiến như vậy.

 

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,279
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...