Uma campanha maliciosa sofisticada que os pesquisadores chamam de OneClik vem utilizando a ferramenta de distribuição de software ClickOnce da Microsoft e backdoors customizados em Golang para comprometer organizações nos setores de energia, óleo e gás.
Os hackers contam com serviços legítimos de nuvem AWS (AWS, Cloudfront, API Gateway, Lambda) para manter a infraestrutura de comando e controle (C2) oculta.
O ClickOnce é uma tecnologia de distribuição da Microsoft que permite aos desenvolvedores criar aplicativos baseados em Windows autoatualizáveis, reduzindo ao mínimo a interação do usuário.
Pesquisadores de segurança da empresa de cibersegurança Trellix analisaram três variantes da campanha (v1a, BPI-MDM e v1d), todas elas implementando "um sofisticado backdoor Golanguage" chamado RunnerBeacon através de um carregador baseado em .NET rastreado como OneClikNet.
Segundo eles, cada versão da campanha OneClik evoluiu com táticas avançadas e obfuscação de C2, robustas técnicas anti-análise e evasão de sandbox.
Embora os indicadores operacionais apontem para atores de ameaças afiliados à China, os pesquisadores são cautelosos ao fazer uma atribuição.
Os ataques OneClik combinam ferramentas legítimas com malware customizado e ferramentas de nuvem e empresariais, o que permite ao ator de ameaças evitar a detecção da operação.
Tudo começa com um e-mail de phishing com um link para um falso site de análise de hardware hospedado no ecossistema Azure que entrega um arquivo .APPLICATION (manifesto ClickOnce) disfarçado de ferramenta legítima.
Os pesquisadores da Trellix dizem que o atacante usou aplicativos ClickOnce como um mecanismo de entrega para payloads maliciosos sem acionar o mecanismo de controle de conta de usuário.
"Os aplicativos ClickOnce são lançados sob o Serviço de Implantação (dfsvc.exe), permitindo aos atacantes a execução proxy de payloads maliciosos através deste host confiável.
Como os aplicativos ClickOnce rodam com privilégios de nível de usuário (sem controle de conta de usuário necessário), eles oferecem um mecanismo de entrega atraente para atores de ameaças que visam evitar escalada de privilégios," explicam os pesquisadores.
Após a execução, o carregador ClickOnce executa payloads maliciosos sequestrando como a aplicação .NET carrega assemblies, uma técnica chamada injeção AppDomainManager.
No caso do OneClik, isso permitiu que o ator de ameaças usasse um executável .NET legítimo, como ZSATray.exe, umt.exe ou ied.exe, para carregar algo diferente das dependências normais.
"Com o carregador no lugar, a execução do payload ocorre sob dfsvc.exe, misturando-se com atividades ClickOnce benignas", dizem os pesquisadores da Trellix.
Para ocultar a operação por um período mais longo, o ator de ameaças aproveitou serviços legítimos da AWS, o que fez com que a comunicação C2 parecesse um uso normal da nuvem, pois se misturava com o tráfego CDN inofensivo.
Na variante OneClik v1a, o beacon contatou um domínio de distribuição Cloudfront e um endpoint de API Gateway.
Na v1d, ele usou uma URL de função AWS Lambda como endereço de callback HTTP.
"Ao 'se esconder na nuvem', os atacantes exploram a alta confiança e disponibilidade da AWS: os defensores devem descriptografar SSL ou colocar domínios AWS inteiros na lista de bloqueio para notar esse tráfego, o que é frequentemente impraticável", esclarecem os pesquisadores da Trellix.
Uma análise do backdoor RunnerBeacon baseado em Golang mostrou que seu protocolo C2 criptografou todo o tráfego usando o algoritmo de cifra de fluxo RC4 e serializou os dados usando o MessagePack.
Ele apresenta um protocolo de mensagem modular com vários tipos de mensagem, entre eles BeaconData, FileRequest, CommandRequest, SOCKSRequest e FileUpload.
Algumas dos métodos que o backdoor usa para dificultar a análise incluem uma rotina "obfuscar_e_dormir" e "jitter" randomizado nos intervalos do beacon.
Os pesquisadores também observaram comandos de alto nível que permitem ao ator de ameaças:
executar comandos shell (CreateProcessW)
listar processos
realizar operações de arquivo (listagem de diretórios, upload, download)
executar tarefas relacionadas à rede (varredura de portas)
estabelecer um túnel SOCKS5 para proxy de tráfego de dados
Capacidades adicionais do RunnerBeacon incluem operações avançadas como injeção de processo e preparação para escalada de privilégios.
A Trellix diz que o design do RunnerBeacon é similar aos beacons Cobalt Strike baseados em Go conhecidos como da família Geacon.
Devido às semelhanças no conjunto de comandos e o uso de C2 cross-protocol, eles dizem que "RunnerBeacon pode ser um fork evoluído ou uma variante modificada privadamente do Geacon, adaptada para operações mais furtivas e amigáveis à nuvem"
Embora a campanha OneClik tenha sido descoberta recentemente, no início de março, uma variante do carregador RunnerBeacon foi identificada em setembro de 2023 em uma empresa no Oriente Médio no setor de óleo e gás.
O método de entrega não pôde ser determinado, mas o código da variante é quase idêntico ao módulo analisado da operação OneClik.
As pistas que apontam para atividade relacionada a um ator de ameaça afiliado à China incluem táticas, técnicas e procedimentos vistos em outras campanhas atribuídas a atores de ameaças chineses.
A Trellix destaca que a técnica de injeção .NET AppDomainManager tem sido usada em múltiplos ciberataques atribuídos a atores de ameaças chineses.
O mesmo vale para o método usado para implantar o payload criptografada.
Além disso, campanhas anteriores ligadas à China mostram preferência por staging baseado em nuvem usando serviços da Alibaba e Amazon.
No entanto, essas sobreposições não são suficientes para atribuir os ataques OneClik a um ator de ameaça específico.
O relatório da Trellix inclui uma lista abrangente de indicadores de comprometimento para todos os componentes na campanha OneClik, variando de iscas de phishing e carregadores de malware a arquivos de configuração, binários de backdoor, executáveis legítimos, domínios e parâmetros de configuração.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...