Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
ClickOnce угроза кибербезопасности нефтегаза и энергетики.
Центр исследований в области кибербезопасности Trellix обнаружил программу APT, которую назвал OneClik. Она является угрозой кибербезопасности в энергетике и нефтегазе. Кибербезопасность предприятия подвергается испытаниям с помощью фишинговых атак и использования Microsoft ClickOnce для скрытого выполнения кода. Поскольку приложения ClickOnce запускаются с привилегиями пользовательского уровня (контроль учетных записей пользователей не требуется), они привлекательны для хакеров. В исследовании говорится, что методы атак программы отражают более широкий переход к тактике “living off the land”. Для того, чтобы обойти традиционные механизмы обнаружения, программа активна в облаке и использует корпоративные инструменты.
Trellix сообщает, что хакеры отправляли электронные письма со ссылками на поддельный сайт “анализа аппаратной платформы”. При заходе на сайт загружался и запускался ClickOnce, далее внедрявший вредоносный код с помощью изменения конфигурации сети.
Вредоносным программным обеспечением были применены многочисленные методы антианализа. В частности, загрузчик перемещал загруженные модули в памяти, чтобы избежать обнаружения, запускал выделенный поток, который периодически проверял наличие отладчиков, являясь известной тактикой уклонения (ATT&CK T1622). Кроме этого, вредоносная библиотека DLL, загруженная AppDomainManager, выполняла сканирование в изолированной среде/виртуальной машине, чтобы проверить, подключен ли хост-компьютер к домену или к Azure AD. Если ни одна из проверок не выполнялась успешно, вредоносная программа завершала работу без выполнения. Также, после загрузки ВПО удаляло свой собственный конфигурационный файл.
Отмечается, что ClickOnce эволюционирует. Начальная версия была самой простой: в ней использовался статический ключ AES/IV для расшифровки полезной нагрузки и минимальные проверки в изолированной среде (скрытие окон, исправление ETW), но не было явных циклов защиты от отладки. В следующей версии был введен постоянный поток проверки отладчика при загрузке второго этапа с локальной, а не удаленной конечной точки. Позже были добавлены надежные проверки среды (домен/Azure AD и объем памяти) и удаление файловых конфигураций.
В Trellix выяснили, что ВПО ClickOnce рассчитано на длительный срок присутствия в компании и фокусируется, в первую очередь, на использование против предприятий энергетического сектора.
Источник: Trellix