Χάκερ καταχρώνται τα Microsoft ClickOnce και AWS για επιθέσεις
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ καταχρώνται τα Microsoft ClickOnce και AWS για επιθέσεις
https://www.secnews.gr/652117/hacker-kataxrontai-microsoft-clickonce-aws-epitheseis/
Jun 26th 2025, 12:13
by Absenta Mia
Μια εξελιγμένη κακόβουλη εκστρατεία, την οποία οι ερευνητές αποκαλούν OneClik, εκμεταλλεύεται το εργαλείο ανάπτυξης λογισμικού ClickOnce της Microsoft και ειδικά σχεδιασμένα backdoors γραμμένα σε Golang, για να εξαπολύσει επιθέσεις εναντίον οργανισμών στους τομείς της ενέργειας, του πετρελαίου και του φυσικού αερίου.
Δείτε επίσης: Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
Οι χάκερς βασίζονται σε νόμιμες υπηρεσίες cloud της AWS (AWS, CloudFront, API Gateway, Lambda) για να αποκρύψουν την υποδομή εντολών και ελέγχου (C2). Το ClickOnce είναι μια τεχνολογία ανάπτυξης εφαρμογών της Microsoft, που επιτρέπει στους προγραμματιστές να δημιουργούν εφαρμογές για Windows με δυνατότητα αυτόματης ενημέρωσης, μειώνοντας στο ελάχιστο την ανάγκη αλληλεπίδρασης από τον χρήστη.
Ερευνητές ασφαλείας από την εταιρεία κυβερνοασφάλειας Trellix, ανέλυσαν τρεις παραλλαγές της κακόβουλης εκστρατείας (v1a, BPI-MDM και v1d), οι οποίες όλες χρησιμοποιούν ένα «προηγμένο backdoor γραμμένο σε Golang» με την ονομασία RunnerBeacon, το οποίο εγκαθίσταται μέσω ενός φορτωτή βασισμένου σε .NET, γνωστού ως OneClikNet.
Σύμφωνα με τους ερευνητές, κάθε έκδοση της εκστρατείας OneClik εξελίχθηκε με προηγμένες τακτικές, τεχνικές απόκρυψης της υποδομής εντολών και ελέγχου (C2), καθώς και ισχυρούς μηχανισμούς κατά της ανάλυσης και αποφυγής sandbox περιβαλλόντων.
Αν και επιχειρησιακοί δείκτες δείχνουν προς παράγοντες απειλής που συνδέονται με την Κίνα, οι ερευνητές είναι επιφυλακτικοί στο να αποδώσουν με σαφήνεια την ευθύνη.
Οι επιθέσεις OneClik συνδυάζουν νόμιμα εργαλεία με κακόβουλο λογισμικό ειδικής κατασκευής, καθώς και υπηρεσίες cloud και εργαλεία επιχειρησιακής χρήσης, γεγονός που επιτρέπει στους δράστες να αποφεύγουν την ανίχνευση της δραστηριότητάς τους.
Δείτε ακόμα: Τα ελαττώματα «AirBorne» της Apple οδηγούν σε επιθέσεις AirPlay zero-click
Η επίθεση ξεκινά με ένα phishing email που περιλαμβάνει σύνδεσμο προς έναν ψεύτικο ιστότοπο ανάλυσης υλικού, φιλοξενούμενο στο οικοσύστημα της Azure, ο οποίος παραδίδει ένα αρχείο .APPLICATION (ClickOnce manifest), μεταμφιεσμένο ως νόμιμο εργαλείο.
Οι ερευνητές της Trellix αναφέρουν ότι ο επιτιθέμενος χρησιμοποίησε τις ClickOnce εφαρμογές ως μηχανισμό παράδοσης κακόβουλου λογισμικού, χωρίς να ενεργοποιείται ο μηχανισμός ελέγχου λογαριασμού χρήστη (User Account Control). Όπως εξηγούν, «επειδή οι εφαρμογές ClickOnce εκτελούνται με δικαιώματα χρήστη και δεν απαιτούν ανύψωση προνομίων, αποτελούν έναν ελκυστικό τρόπο διάδοσης για κακόβουλους φορείς που θέλουν να αποφύγουν τον εντοπισμό και την ανύψωση προνομίων».
Μετά την εκτέλεση, ο φορτωτής ClickOnce ενεργοποιεί τα κακόβουλα φορτία εκμεταλλευόμενος τον τρόπο με τον οποίο οι εφαρμογές .NET φορτώνουν τις βιβλιοθήκες τους, χρησιμοποιώντας μια τεχνική γνωστή ως AppDomainManager injection για τις επιθέσεις.
Στην περίπτωση της OneClik, αυτή η μέθοδος επέτρεψε στον επιτιθέμενο να χρησιμοποιήσει νόμιμα εκτελέσιμα αρχεία .NET, όπως τα ZSATray.exe, umt.exe ή ied.exe, για να φορτώσει διαφορετικό περιεχόμενο από τις κανονικές εξαρτήσεις, παρακάμπτοντας έτσι την ανίχνευση και εκμεταλλευόμενος αξιόπιστες εφαρμογές για κακόβουλη χρήση.
Δείτε επίσης: Το ML-KEM της AWS ασφαλίζει το TLS από κβαντικές απειλές
Βάσει των παραπάνω, μπορούμε να πούμε πως η καμπάνια OneClik αποτελεί ένα χαρακτηριστικό παράδειγμα κακόβουλης χρήσης νόμιμων τεχνολογιών (living off the land techniques). Δηλαδή, οι κυβερνοεγκληματίες δεν δημιουργούν πάντα εξ' αρχής νέα εργαλεία, αλλά εκμεταλλεύονται υπάρχοντα, έμπιστα εργαλεία και πλατφόρμες, όπως το ClickOnce της Microsoft, για να αποκρύψουν τη δραστηριότητά τους και να αποφύγουν την ανίχνευση.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ καταχρώνται τα Microsoft ClickOnce και AWS για επιθέσεις
https://www.secnews.gr/652117/hacker-kataxrontai-microsoft-clickonce-aws-epitheseis/
Jun 26th 2025, 12:13
by Absenta Mia
Μια εξελιγμένη κακόβουλη εκστρατεία, την οποία οι ερευνητές αποκαλούν OneClik, εκμεταλλεύεται το εργαλείο ανάπτυξης λογισμικού ClickOnce της Microsoft και ειδικά σχεδιασμένα backdoors γραμμένα σε Golang, για να εξαπολύσει επιθέσεις εναντίον οργανισμών στους τομείς της ενέργειας, του πετρελαίου και του φυσικού αερίου.
Δείτε επίσης: Ευπάθειες του Amazon EKS εκθέτουν διαπιστευτήρια AWS
Οι χάκερς βασίζονται σε νόμιμες υπηρεσίες cloud της AWS (AWS, CloudFront, API Gateway, Lambda) για να αποκρύψουν την υποδομή εντολών και ελέγχου (C2). Το ClickOnce είναι μια τεχνολογία ανάπτυξης εφαρμογών της Microsoft, που επιτρέπει στους προγραμματιστές να δημιουργούν εφαρμογές για Windows με δυνατότητα αυτόματης ενημέρωσης, μειώνοντας στο ελάχιστο την ανάγκη αλληλεπίδρασης από τον χρήστη.
Ερευνητές ασφαλείας από την εταιρεία κυβερνοασφάλειας Trellix, ανέλυσαν τρεις παραλλαγές της κακόβουλης εκστρατείας (v1a, BPI-MDM και v1d), οι οποίες όλες χρησιμοποιούν ένα «προηγμένο backdoor γραμμένο σε Golang» με την ονομασία RunnerBeacon, το οποίο εγκαθίσταται μέσω ενός φορτωτή βασισμένου σε .NET, γνωστού ως OneClikNet.
Σύμφωνα με τους ερευνητές, κάθε έκδοση της εκστρατείας OneClik εξελίχθηκε με προηγμένες τακτικές, τεχνικές απόκρυψης της υποδομής εντολών και ελέγχου (C2), καθώς και ισχυρούς μηχανισμούς κατά της ανάλυσης και αποφυγής sandbox περιβαλλόντων.
Αν και επιχειρησιακοί δείκτες δείχνουν προς παράγοντες απειλής που συνδέονται με την Κίνα, οι ερευνητές είναι επιφυλακτικοί στο να αποδώσουν με σαφήνεια την ευθύνη.
Οι επιθέσεις OneClik συνδυάζουν νόμιμα εργαλεία με κακόβουλο λογισμικό ειδικής κατασκευής, καθώς και υπηρεσίες cloud και εργαλεία επιχειρησιακής χρήσης, γεγονός που επιτρέπει στους δράστες να αποφεύγουν την ανίχνευση της δραστηριότητάς τους.
Δείτε ακόμα: Τα ελαττώματα «AirBorne» της Apple οδηγούν σε επιθέσεις AirPlay zero-click
Η επίθεση ξεκινά με ένα phishing email που περιλαμβάνει σύνδεσμο προς έναν ψεύτικο ιστότοπο ανάλυσης υλικού, φιλοξενούμενο στο οικοσύστημα της Azure, ο οποίος παραδίδει ένα αρχείο .APPLICATION (ClickOnce manifest), μεταμφιεσμένο ως νόμιμο εργαλείο.
Οι ερευνητές της Trellix αναφέρουν ότι ο επιτιθέμενος χρησιμοποίησε τις ClickOnce εφαρμογές ως μηχανισμό παράδοσης κακόβουλου λογισμικού, χωρίς να ενεργοποιείται ο μηχανισμός ελέγχου λογαριασμού χρήστη (User Account Control). Όπως εξηγούν, «επειδή οι εφαρμογές ClickOnce εκτελούνται με δικαιώματα χρήστη και δεν απαιτούν ανύψωση προνομίων, αποτελούν έναν ελκυστικό τρόπο διάδοσης για κακόβουλους φορείς που θέλουν να αποφύγουν τον εντοπισμό και την ανύψωση προνομίων».
Μετά την εκτέλεση, ο φορτωτής ClickOnce ενεργοποιεί τα κακόβουλα φορτία εκμεταλλευόμενος τον τρόπο με τον οποίο οι εφαρμογές .NET φορτώνουν τις βιβλιοθήκες τους, χρησιμοποιώντας μια τεχνική γνωστή ως AppDomainManager injection για τις επιθέσεις.
Στην περίπτωση της OneClik, αυτή η μέθοδος επέτρεψε στον επιτιθέμενο να χρησιμοποιήσει νόμιμα εκτελέσιμα αρχεία .NET, όπως τα ZSATray.exe, umt.exe ή ied.exe, για να φορτώσει διαφορετικό περιεχόμενο από τις κανονικές εξαρτήσεις, παρακάμπτοντας έτσι την ανίχνευση και εκμεταλλευόμενος αξιόπιστες εφαρμογές για κακόβουλη χρήση.
Δείτε επίσης: Το ML-KEM της AWS ασφαλίζει το TLS από κβαντικές απειλές
Βάσει των παραπάνω, μπορούμε να πούμε πως η καμπάνια OneClik αποτελεί ένα χαρακτηριστικό παράδειγμα κακόβουλης χρήσης νόμιμων τεχνολογιών (living off the land techniques). Δηλαδή, οι κυβερνοεγκληματίες δεν δημιουργούν πάντα εξ' αρχής νέα εργαλεία, αλλά εκμεταλλεύονται υπάρχοντα, έμπιστα εργαλεία και πλατφόρμες, όπως το ClickOnce της Microsoft, για να αποκρύψουν τη δραστηριότητά τους και να αποφύγουν την ανίχνευση.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz