Siber güvenlik araştırmacıları, dublajlı yeni bir kampanya detaylandırdı Özür Bu, Microsoft’un Clickonce yazılım dağıtım teknolojisini ve enerji, petrol ve gaz sektörlerindeki organizasyonları tehlikeye atmak için ısmarlama Golang arka kapılarını kullanıyor.
Trellix araştırmacıları Nico Paulo Yturriaga ve Pham Duy Phuc teknik bir yazıda, “Kampanya Çin’e bağlı tehdit aktörleriyle uyumlu özellikler sergiliyor, ancak ilişkilendirme ihtiyatlı kalıyor.” Dedi.
“Yöntemleri, geleneksel algılama mekanizmalarından kaçınmak için bulut ve kurumsal araçlar içindeki kötü niyetli işlemleri harmanlayan ‘toplama’ taktiklerine doğru daha geniş bir kaymayı yansıtıyor.”
Kimlik avı saldırıları, kısaca, Amazon Web Hizmetleri (AWS) bulut hizmetleri kullanılarak gizlenen saldırgan kontrollü altyapı ile iletişim kurmak üzere tasarlanmış sofistike bir GO tabanlı arka kapı kodlu RunnerBeacon’u dağıtmak için .NET tabanlı bir yükleyiciden yararlanıyor.
Clickonce, Windows tabanlı uygulamaları minimum kullanıcı etkileşimi ile yüklemenin ve güncellemenin bir yolu olarak Microsoft tarafından sunulmaktadır. .NET Framework 2.0’da tanıtıldı. Bununla birlikte, teknoloji, herhangi bir kırmızı bayrak oluşturmadan kötü amaçlı yüklerini yürütmek isteyen tehdit aktörleri için cazip bir araç olabilir.
MITER ATT & CK Framework’te belirtildiği gibi, Clickonce uygulamaları, uygulamaları yüklemek, başlatmak ve güncellemekten sorumlu olan güvenilir bir Windows ikili “DFSVC.EXE” aracılığıyla kötü amaçlı kod çalıştırmak için kullanılabilir. Uygulamalar “dfsvc.exe” nin bir alt süreci olarak başlatılır.
“Clickonce uygulamaları yalnızca sınırlı izin aldığından, yönetim izinlerinin yüklenmesi gerekmez.” Diyerek şöyle devam etti: “Bu nedenle, rakipler, ayrıcalıkları artırmaya gerek kalmadan kötü amaçlı kodun vekaletnamesi için Clickonce’i kötüye kullanabilirler.”
Trellix, saldırı zincirlerinin, sahte bir donanım analizi web sitesine bağlantı içeren kimlik avı e -postaları ile başladığını ve bir Clickonce uygulaması sunmak için bir kanal görevi gören ve bu da dfsvc.exe kullanarak yürütülebilir bir şekilde çalıştırdığını söyledi.
İkili, AppDoainManager enjeksiyonu olarak bilinen başka bir teknikle kötü amaçlı kod enjekte edilerek başlatılan bir Clickonce yükleyicidir ve sonuçta RunnerBeacon arka kapısını yüklemek için bellekte şifreli bir kabuk kodunun yürütülmesine neden olur.
Golang implantı, HTTP (ler) üzerinden bir komut ve kontrol (C2) sunucusu ile iletişim kurabilir, WebSockets, ham TCP ve SMB adlı borular, dosya işlemlerini gerçekleştirmesine ve sonlandırmasına izin verebilir, kabuk komutlarını yönetebilir, kabuk komutlarını yürütebilir, jeton hırsızlığı kullanarak ayrıcalıkları artırabilir ve lateral hareket elde edebilir.
Ek olarak, arka kapı algılamadan kaçınmak için anti-analiz özellikleri içerir ve proxy ve yönlendirme özelliklerini kolaylaştırmak için bağlantı noktası tarama, bağlantı noktası yönlendirme ve SOCKS5 protokolü gibi ağ işlemlerini destekler.
Araştırmacılar, “Runnerbeacon’un tasarımı, bilinen GO tabanlı Kobalt Strike Beacons’a (örneğin Geacon/Geacon Plus/Geacon Pro ailesi) yakından paralellik gösteriyor.” Dedi.
“Geacon gibi, komut kümesi (kabuk, süreç numaralandırması, dosya G/Ç, vb.) Ve çapraz protokol C2 kullanımı çok benzer. Bu yapısal ve fonksiyonel benzerlikler, koşu ayağının gelişmiş bir çatal veya özel olarak modifiye edilmiş bir varyant olabileceğini, daha sert ve bulut-fitili operasyonlar için hazırlanmış olabileceğini gösteriyor.”
Sadece Mart 2025’te üç farklı OneClick varyantı gözlenmiştir: V1A, BPI-MDM ve V1D, her bir yineleme radarın altında uçmak için giderek iyileşmiş yetenekler gösterir. Bununla birlikte, Eylül 2023’te Orta Doğu’daki bir şirkette petrol ve gaz sektöründe bir RunnerBeacon varyantı tespit edildi.
AppDomainManager enjeksiyonu gibi teknikler geçmişte Çin ve Kuzey Kore bağlantılı tehdit aktörleri tarafından kullanılsa da, faaliyet bilinen herhangi bir tehdit aktörüne veya gruba resmi olarak atfedilmemiştir.
Geliştirme, Qianxin’in, isimsiz bir e-posta platformunun web sürümünde sıfır günler arası bir saha komut dosyası (XSS) kusurunu kullanarak kötü amaçlı yazılımları yaymak için Clickonce uygulamalarını da kullanan APT-Q-14 olarak izlediği bir tehdit oyuncusu tarafından monte edilen bir kampanyayı ayrıntılı olarak anlatıyor. Güvenlik açığı, o zamandan beri yamalı olduğunu söyledi.
Bir kurban kimlik avı e -postası açtığında XSS kusuru otomatik olarak tetiklenir ve Clickone uygulamasının indirilmesine neden olur. Qianxin, “Kimlik avı e -postasının gövdesi, kurban endüstrisine denk gelen Yahoo News’den geliyor.”
İzinsiz giriş sırası, bir Posta Kutusu Talimat Kılavuzunu bir yem olarak sunarken, kötü niyetli bir Truva atı, bir C2 sunucusuna sistem bilgilerini toplamak ve sunmak ve bilinmeyen sonraki aşamalı yükleri almak için Windows ana bilgisayarına gizli bir şekilde kurulur.
Çin siber güvenlik şirketi, APT-Q-14’ün Android platformu için e-posta yazılımındaki sıfır gün güvenlik açıklarına da odaklandığını söyledi.
APT-Q-14, Qianxin tarafından Kuzeydoğu Asya’dan kaynaklanan ve Darkhotel olarak bilinen Güney Kore ile hizalanmış bir tehdit grubu içinde alt gruplar olduğu değerlendirilen Apt-Q-12 (pseudo avcısı) ve Apt-Q-15 olarak adlandırılan diğer kümelerle örtüşen olarak tanımlanmıştır.
Bu haftanın başlarında, Pekin merkezli 360 Tehdit İstihbarat Merkezi, Darkhotel’in Microsoft Defender antivirüsünü sonlandırmak ve kötü amaçlı yazılımları Şubat 2025’te sahte MSI kurulum paketleri sunan bir kimlik avı saldırısının bir parçası olarak dağıtmak için kendi savunmasız sürücü (BYOVD) tekniğinizi kullanmasını açıkladı.
Kötü amaçlı yazılım, belirtilmemiş kabuk kodunu indirmek, şifresini çözmek ve yürütmek için uzak bir sunucu ile iletişim kurmak için tasarlanmıştır.
“Genel olarak, [hacking group’s] Taktikler son yıllarda ‘basit’ olma eğilimindedir: ağır ağırlık güvenlik açıklarının daha önce kullanılmasından farklı olarak, esnek ve yeni teslimat yöntemlerini ve saldırı tekniklerini benimsedi, “dedi.” Saldırı hedefleri açısından, APT-C-06 hala Kuzey Koreli ile ilgili tüccarlara odaklanıyor ve aynı dönemde saldırıya uğramış hedeflerin sayısı daha büyük. “