كانت حملة ضارة متطورة يطلق عليها الباحثون على Oneclik الاستفادة من أداة نشر برامج Microsoft من Microsoft و Backdoors المخصصة Golang لتسوية المنظمات داخل قطاعات الطاقة والنفط والغاز.
يعتمد المتسللون على خدمات AWS Cloud Legal (AWS ، CloudFront ، API Gateway ، Lambda) للحفاظ على إخفاء البنية التحتية للسيطرة والتحكم (C2).
ClickOnce هي تقنية نشر من Microsoft تسمح للمطورين بإنشاء تطبيقات قائمة على Windows ، مما يقلل من تفاعل المستخدم إلى الحد الأدنى.
قام باحثو الأمن في شركة Cybersecurity Trellix بتحليل ثلاثة متغيرات من الحملة (V1A ، BPI-MDM ، و V1D) ، وكلهم ينشرون “بورجة جولانية متطورة” تسمى RunnerBeacon عبر محمل قائم على أساس.
وفقًا لهم ، تطورت كل نسخة من حملة Oneclik مع تكتيكات متقدمة و c2 التغلب ، ومضادات التحليل القوية ، وتقنيات التهرب من صندوق الرمل.
في حين تشير المؤشرات التشغيلية إلى فاعلات التهديد التي تتبعها الصين ، فإن الباحثين حذرون في إجراء إسناد.
إساءة استخدام أداة نشر Microsoft ClickOnce
تجمع هجمات Oneclik بين الأدوات المشروعة مع أدوات مخصصة للبرامج الضارة والأدوات السحابية والمؤسسات ، والتي تتيح لممثل التهديد التهرب من العملية.
إنه يبدأ عبر البريد الإلكتروني للتصيد مع رابط لموقع تحليل الأجهزة المزيفة المستضافة في النظام الإيكولوجي Azure الذي يوفر ملف .application (بيان ClickOnce) متنكرا كأداة شرعية.
يقول باحثو Trellix أن المهاجم استخدم تطبيقات ClickOnce كآلية تسليم للحمولة الضارة دون تشغيل آلية التحكم في حساب المستخدم.
“تشغيل تطبيقات ClickOnce ضمن خدمة النشر (DFSVC.Exe) ، مما يتيح للمهاجمين من تنفيذ الوكيل من الحمولات الضارة من خلال هذا المضيف الموثوق.
نظرًا لأن تطبيقات ClickOnce يتم تشغيلها بامتيازات على مستوى المستخدم (لا مطلوب تحكم في حساب المستخدم) ، فإنها توفر آلية تسليم جذابة لمجلة التهديد التي تهدف إلى تجنب تصعيد الامتياز ، “”https://www.trellix.com/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/” الهدف=”_blank” rel=”nofollow noopener”> الباحثون يشرحون.
المصدر: Trellix
بعد التنفيذ ، يقوم ClickOnce Loader بتشغيل حمولات ضارة من خلال اختطاف كيفية تحميل تطبيقات تطبيق .NET ، وهي تقنية تسمى”https://attack.mitre.org/techniques/T1574/014/” الهدف=”_blank” rel=”nofollow noopener”> حقن AppDomainManager.
في حالة OneClik ، سمح هذا لممثل التهديد باستخدام قابلة للتنفيذ قابلة للتنفيذ. Zsatray.exeو umt.exe، أو eed.exe، لتحميل شيء آخر غير التبعيات العادية.
“مع وجود المحمل في مكانه ، يتم تنفيذ الحمولة النافعة تحت DFSVC.Exeيقول باحثون Trellix: “المزج مع أنشطة Clickonce الحميدة”.
لإخفاء العملية لفترة أطول ، قام ممثل التهديد بالاستفادة من خدمات AWS المشروعة ، والتي جعلت الاتصال C2 يبدو كاستخدام سحابي عادي لأنه تم خلطه مع حركة مرور CDN غير ضارة.
في متغير Oneclik V1A ، اتصل منارة بمجال توزيع CloudFront ونقطة نهاية بوابة API. في V1D ، استخدم عنوان URL لدالة AWS Lambda كعنوان رد اتصال HTTP.
“من خلال الاختباء في السحابة” ، يستغل المهاجمون الثقة العالية وتوافر AWS: يجب على المدافعين فك تشفير SSL أو Denylist بأكملها مجالات AWS لملاحظة حركة المرور هذه ، والتي غالبًا ما تكون غير عملية “، يوضح باحثو Trellix.
GO Runnerbeacon Backdoor
أظهر تحليل لقيام RunnerBeacon Backdoor الذي يتخذ من Golang مقراً له أن بروتوكول C2 الخاص به يشفر جميع حركة المرور باستخدام خوارزمية تشفير Stream RC4 والبيانات المسلسل باستخدام MessagePack.
إنه يتميز ببروتوكول رسائل معياري مع أنواع رسائل متعددة ، من بينها Beacondata و FilereQuest و CommandRequest و SocksRequest و FileUpload.
بعض الأساليب التي يستخدمها الباب الخلفي لإعاقة التحليل ، وجد الباحثون روتينًا “jitter” العشوائي “obfuscate_and_sleep”.
لاحظ الباحثون أيضًا أوامر رفيعة المستوى تسمح لممثل التهديد بـ:
- تنفيذ أوامر shell (CreateProcessw)
- العمليات العددية
- قم بتشغيل عمليات الملفات (قائمة الدليل ، التحميل ، التنزيل)
- قم بتنفيذ المهام المتعلقة بالشبكة (مسح المنافذ)
- إنشاء نفق Socks5 إلى حركة بيانات الوكيل
تتضمن إمكانات Runnerbeacon إضافية عمليات متقدمة مثل حقن العملية وتحديد المرحلة من أجل تصعيد الامتياز.
يقول Trellix إن تصميم Runnerbeacon يشبه إشارات الكوبالت إضراب معروفة مثل تلك الموجودة في عائلة Geacon.
نظرًا لأوجه التشابه في مجموعة الأوامر واستخدام Protocol C2 ، يقولون إن “Runnerbeacon قد يكون شوكة متطورة أو متغيرًا خاصًا من Geacon ، مصمم خصيصًا للعمليات الأكثر سحابة ، وملائمة السحابة”
إسناد حذر
على الرغم من اكتشاف حملة Oneclik مؤخرًا ، في بداية شهر مارس ، تم تحديد متغير من RunnerBeacon Loader في سبتمبر 2023 في شركة في الشرق الأوسط في قطاع النفط والغاز.
لا يمكن تحديد طريقة التسليم ولكن رمز المتغير متطابق تقريبًا للوحدة التي تم تحليلها من عملية Oneclik.
تشمل القرائن التي تشير إلى النشاط المتعلق بممثل الدولة التابع الصيني التكتيكات والتقنيات والإجراءات التي شوهدت في الحملات الأخرى المنسوبة إلى ممثلي التهديد الصيني.
يسلط Trellix الضوء على أنه تم استخدام تقنية حقن .NET AppDomainmanager في العديد من الهجمات الإلكترونية المنسوبة إلى ممثلي التهديد الصيني. وينطبق الشيء نفسه على الطريقة المستخدمة لنشر الحمولة المشفرة.
بالإضافة إلى ذلك ، تُظهر الحملات السابقة المرتبطة بالصين تفضيلًا للتنظيم المستند إلى مجموعة النظراء باستخدام الخدمات من Alibaba و Amazon.
ومع ذلك ، فإن هذه التداخلات ليست كافية لاتصال هجمات Oneclik إلى ممثل تهديد محدد.
ال”https://www.trellix.com/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/” الهدف=”_blank” rel=”nofollow noopener”> تقرير من Trellix يتضمن قائمة شاملة من مؤشرات التسوية لجميع المكونات في حملة OneClik ، بدءًا من السحر المختلط والبرمجيات الخبيثة إلى ملفات التكوين ، وثنائيات الخلفية ، والمؤسسات التنفيذية المشروعة ، والمجالات ، ومعلمات التكوين.
“https://www.bleepstatic.com/c/t/tines/tines-needle.jpg” alt=”Tines Needle”>
لماذا تتخلى فرق تكنولوجيا المعلومات عن إدارة التصحيح اليدوي
تستخدم الترقيع ليعني البرامج النصية المعقدة ، والساعات الطويلة ، وتدريبات النار التي لا نهاية لها. ليس بعد الآن.
في هذا الدليل الجديد ، تحطم Tines كيف تقوم Orgs الحديثة بتسوية الأتمتة. تصحيح أسرع ، تقليل النفقات العامة ، والتركيز على العمل الاستراتيجي – لا توجد نصوص معقدة مطلوبة.