„OneClik“ kenkėjiška programa slepiasi tiesiog akyse
Table of Contents
Naujos kartos kibernetiniai įsilaužimai
Kibernetinio saugumo ekspertai atskleidė itin tikslinę kenkėjiškų programų kampaniją, vadinamą „OneClik“ . Ši operacija nėra tipinė „scattlegue“ ataka – tai tikslinės pastangos, nukreiptos tiesiai į didelės vertės pramonės šakas, tokias kaip energetika, nafta ir dujos. „OneClik“ verta dėmesio tuo, kad joje naudojama „Microsoft ClickOnce “ technologija – teisėtas įrankis, skirtas sklandžiam programinės įrangos diegimui vartotojams. Vietoj to, užpuolikai ją pavertė ginklu, skirtu tyliai pateikti užpakalines duris į kritines sistemas.
Gyvenimas iš žemės ūkio: užpuolikų išsisukinėjimo strategija
Užuot pasikliovusi triukšminga kenkėjiška programa, kuri sukelia signalizaciją, „OneClik“ taiko subtilesnį požiūrį. Kampanija atitinka platesnę pramonės tendenciją, vadinamą „gyvenimo iš savo kampelio“ metodais – naudojant patikimus sistemos įrankius ir platformas, kad veiktų nepastebimai. Užpuolikai įtraukia kenkėjiškus procesus į įprastus įmonės darbo eigą, todėl juos labai sunku aptikti. Nors kai kurios savybės rodo ryšius su su Kinija susijusiomis grėsmių grupuotėmis, saugumo analitikai atsargiai vertina kaltinimus.
Nuo sukčiavimo apsimetant iki visiškos kontrolės
Atakų grandinė prasideda apgaulingai paprastu sukčiavimo el. laišku. Aukos nukreipiamos į netikrą svetainę, kuri imituoja teisėtą aparatinės įrangos analizės įrankį. Apsilankius šioje svetainėje, tyliai pateikiama „ClickOnce“ programa. Nors tai gali atrodyti nekenksminga, programa iš tikrųjų yra .NET pagrindu veikianti įkėlėja, kuri sukelia sudėtingą įvykių grandinę. Šios grandinės centre yra galinga galinė durų programa, vadinama „RunnerBeacon“ .
„RunnerBeacon“: pagrindinis implantas
Sukurtas naudojant „Go“ programavimo kalbą, „RunnerBeacon“ yra skirtas slaptam veikimui ir universalumui. Jis bendrauja su savo operatoriais naudodamas įvairius protokolus, įskaitant HTTPS, neapdorotą TCP ir net „Windows“ pavadintus kanalus. Tai leidžia kenkėjiškai programai atlikti įvairią veiklą: skaityti ir modifikuoti failus, nuskaityti vidinius tinklus, vykdyti apvalkalo komandas, vogti žetonus privilegijų eskalavimui ir judėti tinkle. Tai ne tik atramos taškas – tai įrankių rinkinys giliam sistemos įsilaužimui.
Nereikia administratoriaus teisių: kodėl „ClickOnce“ yra svarbi
Vienas iš gudriausių kampanijos triukų – piktnaudžiavimas „ClickOnce“. Ši „Microsoft“ technologija paprastai naudojama programinei įrangai įdiegti be administratoriaus teisių. Užpuolikai tuo pasinaudoja, kad paleistų kenkėjiškas programas nesukeldami įspėjamųjų signalų ir neprašydami įtartinų leidimų. Kenkėjiška programa veikia per patikimą „Windows“ procesą „dfsvc.exe“ ir naudoja retai pasitaikančią taktiką, vadinamą „AppDomainManager“ injekcija, kad atmintyje vykdytų užšifruotą apvalkalo kodą, todėl teismo ekspertizės duomenų atkūrimas yra sudėtingas.
Ne vienkartinis atvejis: besivystantys variantai gamtoje
Tai ne viena kenkėjiškų programų atmaina – tai auganti šeima. Saugumo tyrėjai nustatė kelis „OneClik“ variantus, atsiradusius vien 2025 m., kiekviena versija yra tobulesnė už ankstesnę. Tokie pavadinimai kaip „v1a“ , „BPI-MDM“ ir „v1d“ rodo bręstantį įrankių rinkinį, skirtą apeiti ir išlaikyti apsaugą. Tiesą sakant, ankstesni „RunnerBeacon“ galinių durų pastebėjimai siekia 2023 m., o tai rodo kampaniją, kuri laikui bėgant veikė ir tyliai vystėsi.
Platesnės pasekmės: ką tai reiškia įmonėms
„OneClik“ veiklos pasekmės yra reikšmingos. Jos gebėjimas veikti nepastebimai, išvengti privilegijų eskalavimo reikalavimų ir veikti patikimose sistemose daro ją ypač pavojingą pramonės šakoms, kurios naudoja pasenusias sistemas arba minimalią galinių taškų apsaugą. Tradicinės antivirusinės priemonės ir užkardos gali jos nepastebėti. Infrastruktūros sektorių organizacijos turi apsvarstyti, ar jų dabartinė gynyba gali susidoroti su tokio tipo atakomis.
Štai keli pagrindiniai požymiai, kurie gali rodyti „OneClik“ stiliaus įsilaužimą:
- Neįprastas išeinantis srautas į AWS ar kitas debesijos paslaugas
- Nežinomi dfsvc.exe antriniai procesai
- „AppDomainManager“ arba įtartinų .NET rinkinių naudojimas
- Laipsniškas privilegijų didinimas be įspėjimų
Visuotinis modelis: ryšiai su kitais grėsmės veikėjais
Nors priskyrimas vis dar neaiškus, tyrėjai pastebėjo panašumų tarp „OneClik“ metodų ir tų, kuriuos naudoja su valstybėmis susijusios grupuotės Šiaurės Rytų Azijoje. Viena grupės, žinomos kaip APT-Q-14, kampanija taip pat panaudojo „ClickOnce“ programas, šį kartą išnaudodama nulinės dienos XSS klaidą žiniatinklio el. pašto paslaugoje, kad įdiegtų kenkėjiškas programas be jokių paspaudimų. Taktikos sutapimas rodo, kad regioniniai grėsmės veikėjai naudoja bendrus įrankius arba bendrą veiksmų planą.
Prisitaikymas yra naujas ginklas
„OneClik“ nuo tradicinių kenkėjiškų programų skiria savo lankstumu. Ji nesiremia didelio masto pažeidžiamumais ar grubios jėgos metodais. Vietoj to, ji prisitaiko. Ji naudoja patikimas platformas, tokias kaip AWS, maskuoja savo komunikaciją ir vystosi realiuoju laiku. Tai simbolizuoja platesnį kibernetinių grėsmių pokytį: nuo didelio masto grėsmių skaičiaus pereinama prie slaptų ir tikslių grėsmių.
Baigiamosios mintys
„OneClik“ kampanija aiškiai primena, kad net ir teisėtos technologijos gali būti panaudotos kenkėjiškiems tikslams. Saugumo komandoms tai reiškia, kad reikia žvelgti plačiau nei paviršutiniška apsauga ir investuoti į elgsenos analizę, anomalijų aptikimą ir pažangų stebėjimą. Grėsmių kūrėjams nenustojant tobulinti savo metodų, gynėjai turi prilygti jiems lankstumu ir įžvalgumu. Kibernetinio saugumo ateitis – suprasti ne tik tai, ką užpuolikai daro, bet ir kaip tyliai jie tai daro.
