استخدم القراصنة أداة مايكروسوفت لاختراق بنية النفط والغاز

كشف الباحثون عن حملة برامج ضارة خفية تستهدف أنظمة الطاقة من خلال التعتيم السحابي لـ Microsoft ClickOnce والباب الخلفي القوي المعروف باسم RunnerBeacon

حدد فريق البحث في Trellix هجومًا إلكترونيًا جديدًا يُطلق عليه اسم “OneClik” يستخدم أساليب متطورة لاختراق أنظمة الأمان لشركات الطاقة والنفط والغاز.

يستخدم المهاجمون رسائل البريد الإلكتروني الاحتيالية لتنفيذ الهجمات التي تستخدم تطبيق Microsoft ClickOnce لخداع المستخدمين ودفعهم لتثبيت برامج ضارة من خلال أداة تحليل للأجهزة المزيفة.

يفتح الضحية الرابط الذي يُطلق عملية تنزيل أداة مزيفة قبل أن يُشغّل “dfsvc.exe” هذه الأداة. تقبل عملية Windows الشرعية البرامج الخبيثة المخفية من خلال تقنيات برمجة متقدمة.

بمجرد دخوله، يقوم البرنامج الضار بتثبيت باب خلفي يُدعى “RunnerBeacon”، الذي يتصل بهدوء بخوادم تحت سيطرة القراصنة المقنعة بأنها خدمات سحابية من أمازون، مما يجعلها تقريباً مستحيلة للكشف عنها.

يلاحظ الباحثون أن RunnerBeacon، الذي كُتب بلغة البرمجة Go، متقدم للغاية. فعلاً، يمكنه تشغيل الأوامر، سرقة الملفات، السيطرة على حركة الشبكة، وحتى الاختباء من المحققين باستخدام أدوات مكافحة التصحيح والتحقق من النظام.

تقرير الباحثون أن البرامج الخبيثة تتطور عبر ثلاث نسخ، وكل نسخة جديدة تُحسِّن قدرتها على تجنب الكشف، بما في ذلك البحث عما إذا كانت تعمل في بيئة افتراضية آمنة.

تم تصميم بنية OneClik لتندمج مع حركة الشبكة السحابية الشرعية. تعمل خدمات Amazon CloudFront و Lambda كأدوات شبكة شركات موثوقة لإخفاء اتصالات البرامج الخبيثة.

بالإضافة إلى ذلك، يتيح النهج المعتمد على “العيش من الأرض” القدرات الهروبية عن طريق الاندماج في الأنشطة الرقمية اليومية، مما يجعل الكشف عنها أكثر تحديا.

يقول الباحثون إنهم لا يستطيعون تأكيد هوية الشخص الذي يقف خلف OneClik، ولكن، تظهر العملية السيبرانية استراتيجية متطورة مستمرة تستهدف أنظمة البنية التحتية الحيوية.