Hogyan támad a OneClik?
A behatolók taktikája ötvözi a legális eszközöket és a célzottan fejlesztett rosszindulatú programokat. A támadás egy adathalász e-maillel kezdődik, amely egy hamis hardverelemző oldalra mutató linket tartalmaz az Azure felhőben. Innen a felhasználó letölthet egy .APPLICATION fájlt (ClickOnce-manifeszt), amelyet legitim programnak álcáznak. A Trellix kutatói rámutattak: a ClickOnce-alkalmazások lehetővé teszik a káros kódok felhasználói jóváhagyás nélküli futtatását, mivel azok a Windows Deployment Service (dfsvc.exe) révén, magasabb jogosultságok nélkül, felhasználói szinten futnak.
Itt jön a trükk: a ClickOnce loader manipulálja a .NET-alkalmazások működését úgy, hogy legitim fájloktól (például ZSATray.exe, umt.exe vagy ied.exe) eltérő programkódot tölt be. Mindez a háttérben, tipikus ClickOnce-műveletek közé rejtve történik, így a támadás nehezen észlelhető.
Rejtőzködés a felhőben
A támadók valódi AWS-szolgáltatásokat (például CloudFront, API Gateway, Lambda) használnak kommunikációra, így az adatforgalom beleolvad a teljesen ártalmatlan felhős forgalomba. Így a védelmi rendszerek vagy a teljes AWS-domaint blokkolják, vagy csak titkosított SSL-forgalomból tudják kiszűrni a támadást – ami vállalati környezetben gyakorlatilag nehéz.
A kampánynak több változata is létezik: például a OneClik v1a CloudFront-domainek, míg a v1d AWS Lambda URL-en keresztül kommunikál.
A RunnerBeacon hátsó ajtó működése
A támadássorozat szíve egy futtatható golang program, a RunnerBeacon, amely RC4-algoritmussal titkosítva kommunikál, és MessagePack-alapú adatsorozatot használ. Moduláris üzenetprotokollal működik – például képes rendszerparancsokat futtatni (CreateProcessW), folyamatokat listázni, fájlműveleteket végezni, portokat szkennelni vagy akár SOCKS5 proxy-n keresztül adatforgalmat továbbítani.
Elemzők több rejtőzködő szolgáltatást is felfedeztek benne: például áltevékenységeket, megtévesztő időzítéseket és üzeneteket, folyamatinjektálást, sőt jogosultságnövelési előkészületeket is kezel. Felépítése a Geacon családba tartozó, Cobalt Strike-jellegű Go-alapú hátsó ajtókra emlékeztet, így valószínű, hogy ezek továbbfejlesztett, privát változatáról van szó.
Kína nyomai – de bizonyíték nincs
A jelek alapján a támadók Kínához köthetők. Több, kínai fenyegetőkhöz kapcsolt technika is megjelenik: például a .NET AppDomainManager injektálása vagy a felhőalapú malware-telepítési módszerek (Alibaba, Amazon). Ugyanakkor ezek önmagukban nem elegendőek a közvetlen attribúcióhoz.
A Trellix részletes kompromittálási indikátorokat is közöl: az adathalász csaliktól kezdve a malware-loadereken és konfigurációs fájlokon át az egyes domaincímekig és végrehajtható fájlokig minden megtalálható az anyagukban.
