A OneClik kártevő a szem elől menekül

cyberattack malware

A kiberbehatolás új fajtája

Kiberbiztonsági szakértők lepleztek le egy OneClik néven ismert, rendkívül célzott kártevő-kampányt. Ez a művelet nem egy tipikus szétszórt támadás – ez egy fókuszált erőfeszítés, amely kifejezetten a nagy értékű iparágakat, például az energia-, az olaj- és a gázipart veszi célba. A OneClik említésre méltóvá teszi a Microsoft ClickOnce technológiáját, amely egy legitim eszköz, amelynek célja a szoftverek zökkenőmentes telepítésének biztosítása a felhasználók számára. Ehelyett a támadók fegyverré alakították azt, amellyel csendesen hátsó kapukat juttatnak be a kritikus rendszerekhez.

A földből élni: A támadók kitérő stratégiája

Ahelyett, hogy a riasztásokat kiváltó zajos rosszindulatú programokra hagyatkozna, a OneClik egy kifinomultabb megközelítést alkalmaz. A kampány egy szélesebb körű iparági trendhez igazodik, amelyet „földön kívüli élet” technikákként ismernek – megbízható rendszereszközöket és platformokat használnak az észrevétlen működéshez. A támadók a rosszindulatú folyamatokat a normál vállalati munkafolyamatokba keverik, ami rendkívül megnehezíti a felderítést. Bár egyes jellemzők kínai kapcsolatban álló fenyegető csoportokhoz való kapcsolódást sugallnak, a biztonsági elemzők továbbra is óvatosak a felelősségre vonásban.

Az adathalászattól a teljes kontrollig

A támadási lánc egy megtévesztően egyszerű adathalász e-maillel kezdődik. Az áldozatokat egy hamis weboldalra irányítják át, amely egy legitim hardverelemző eszközt utánoz. Meglátogatáskor ez az oldal csendben egy ClickOnce alkalmazást jelenít meg. Bár ez ártalmatlannak tűnhet, az alkalmazás valójában egy .NET alapú betöltő, amely egy összetett eseményláncot indít el. A lánc középpontjában egy hatékony hátsó ajtó áll, a RunnerBeacon .

RunnerBeacon: A magimplantátum

A Go programozási nyelven készült RunnerBeacon a lopakodásra és a sokoldalúságra lett tervezve. Különböző protokollokon keresztül kommunikál az operátoraival, beleértve a HTTPS-t, a nyers TCP-t és akár a Windows által elnevezett pipe-okat is. Ez lehetővé teszi a rosszindulatú program számára, hogy számos tevékenységet végezzen: fájlok olvasását és módosítását, belső hálózatok szkennelését, shell parancsok végrehajtását, tokenek ellopását a jogosultságok eszkalációjához, és laterális mozgást a hálózaton keresztül. Ez nem csupán egy megfékező pont – ez egy eszközkészlet a mély rendszerfeltöréshez.

Nincs szükség rendszergazdai jogosultságokra: Miért fontos a ClickOnce?

A kampány egyik legravaszabb trükkje a ClickOnce visszaélése. Ezt a Microsoft-technológiát jellemzően rendszergazdai jogosultságok nélküli szoftvertelepítésre használják. A támadók ezt kihasználva indíthatják el rosszindulatú programjaikat anélkül, hogy gyanús engedélyeket kérnének, vagy gyanús jelzéseket adnának. A rosszindulatú alkalmazás egy megbízható Windows-folyamaton, a dfsvc.exe-n keresztül fut, és egy ritkán látott taktikát, az AppDomainManager injekciót alkalmazza titkosított shellkód futtatására a memóriában – ami megnehezíti a kriminalisztikai helyreállítást.

Nem egyszeri eset: evolúciós változatok a vadonban

Ez nem egyetlen rosszindulatú programtörzs – egy folyamatosan bővülő család. Biztonsági kutatók több OneClik variánst is azonosítottak, amelyek csak 2025-ben jelentek meg, és mindegyik verzió finomodott az előzőnél. Az olyan nevek, mint a v1a , a BPI-MDM és a v1d , egy kiforrott eszközkészletre utalnak, amelyet a kijátszásra és a folyamatos behatolásra terveztek. Valójában a RunnerBeacon hátsó ajtó korábbi észlelései 2023-ig nyúlnak vissza, ami egy olyan kampányra utal, amely az idők során csendben működött és fejlődött.

Tágabb következmények: Mit jelent ez a vállalkozások számára?

A OneClik tevékenységének jelentős következményei vannak. Az a képessége, hogy észrevétlenül repül, kikerüli a jogosultság-eszkalációs követelményeket, és megbízható rendszereken belül működik, különösen veszélyessé teszi azokat az iparágakat, amelyek a régi rendszerekre vagy minimális végpontvédelemre támaszkodnak. A hagyományos vírusvédelmi eszközök és tűzfalak esetleg nem veszik észre. Az infrastrukturális szektorban működő szervezeteknek mérlegelniük kell, hogy jelenlegi védelmi rendszereik képesek-e megbirkózni az ilyen típusú támadásokkal.

Íme néhány főbb jel, amelyek OneClik-stílusú behatolásra utalhatnak:

  • Szokatlan kimenő forgalom az AWS-hez vagy más felhőszolgáltatásokhoz
  • A dfsvc.exe ismeretlen gyermekfolyamatai
  • AppDomainManager vagy gyanús .NET-szerelvények használata
  • Fokozatos jogosultságnövelés riasztások nélkül

Globális minta: Kapcsolatok más fenyegető szereplőkkel

Bár a hiba oka továbbra sem tisztázott, a kutatók hasonlóságokat találtak a OneClik technikái és az északkelet-ázsiai állami kötelékű csoportok által alkalmazott technikák között. Az APT-Q-14 néven ismert csoport egyik kampánya szintén a ClickOnce alkalmazásokat használta ki, ezúttal egy webes e-mail szolgáltatás nulladik napi XSS hibáját kihasználva, hogy kattintás nélkül telepítsen rosszindulatú programokat. A taktikák átfedése arra utal, hogy a regionális fenyegetések szereplői megosztott eszközöket vagy közös forgatókönyvet használnak.

Az alkalmazkodóképesség az új fegyver

A OneClik-et a hagyományos rosszindulatú programoktól a rugalmassága különbözteti meg. Nem a kasszasiker sebezhetőségekre vagy a nyers erő módszerekre támaszkodik. Ehelyett alkalmazkodik. Megbízható platformokat, például az AWS-t használja, álcázza a kommunikációját, és valós időben fejlődik. Ez a kiberfenyegetések szélesebb körű eltolódását jelképezi: a mennyiségi fenyegetésektől a lopakodás és a pontosság felé haladva.

Záró gondolatok

A OneClik kampány egyértelműen emlékeztet arra, hogy még a legitim technológiák is felhasználhatók rosszindulatú célokra. A biztonsági csapatok számára ez azt jelenti, hogy a felszíni szintű védelemen túlra kell tekinteniük, és be kell fektetniük a viselkedéselemzésbe, az anomáliadetektálásba és a fejlett monitorozásba. Mivel a fenyegetések szereplői nem hagyják abba módszereik finomítását, a védőknek is meg kell felelniük nekik agilitásban és betekintésben. A kiberbiztonság jövője nemcsak abban rejlik, hogy megértsük, mit tesznek a támadók, hanem abban is, hogy milyen csendben teszik azt.

Willa -Ig
June 27, 2025
Rosszindulatú
Magyar
June 27, 2025
Rosszindulatú

Népszerű Bejegyzések

Amikor a frissítések túlterhelnek: MoUSO Core Worker Process...

11 months ezelőtt

A megtévesztés leleplezése: Facebook-fiók feltörése

11 months ezelőtt

Online figyelemelterelések a Pphouse3.fun oldalról

11 months ezelőtt

Ne dőlj be neki: A fiók-ellenőrzési riasztással kapcsolatos...

11 months ezelőtt

Bitcoin Jutalmazási Program Átverés Kriptovalutákat Lop

11 months ezelőtt

7 vírus észlelhető a számítógépeden – felugró ablakos átverés

10 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2026 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.