Rabattilbud med flere licenser
Trusseldatabase Malware OneClik-malware

OneClik-malware

Med Mezo i Malware
Oversæt til:

En sofistikeret cyberkampagne kaldet OneClik er rettet mod energi-, olie- og gassektorerne ved hjælp af en blanding af vildledende implementeringsmetoder og specialbygget malware. Kernen i denne operation er misbrug af Microsofts ClickOnce-teknologi og en kraftfuld Golang-baseret bagdør ved navn RunnerBeacon. Selvom indikatorer tyder på en mulig forbindelse til kinesiske trusselsaktører, er tilskrivningen fortsat foreløbig.

ClickOnce: Et tveægget implementeringsværktøj

Microsofts ClickOnce er designet til at forenkle implementerings- og opdateringsprocessen for Windows-applikationer, hvilket muliggør installationer med minimal brugerinteraktion. Denne funktion, der blev introduceret i .NET Framework 2.0, gør det muligt for apps at køre med begrænsede tilladelser uden at kræve administratorrettigheder.

Desværre har denne bekvemmelighed også gjort ClickOnce til et værdifuldt aktiv for cyberkriminelle. Ondsindede programmer kan implementeres ved hjælp af en betroet Windows-binærfil (dfsvc.exe), som håndterer ClickOnce-apps. Disse apps udføres som en underproces til dfsvc.exe, hvilket giver angribere mulighed for at køre ondsindet kode i hemmelighed uden at udløse sikkerhedsalarmer eller have brug for forhøjede rettigheder.

Infiltrationstaktikker: Phishing og bedrag

Angrebskæden starter med veludformede phishing-e-mails, der lokker ofre til et falsk hardwareanalysewebsted. Når offeret besøger webstedet, leveres og startes et ondsindet ClickOnce-program ved hjælp af dfsvc.exe.

Denne indlæser indsprøjter skadelig kode i hukommelsen ved hjælp af en metode kendt som AppDomainManager-indsprøjtning, hvilket resulterer i udførelse af en krypteret shellcode. Den ultimative nyttelast er RunnerBeacon, en sofistikeret Golang-bagdør.

RunnerBeacon: Et kraftfuldt og alsidigt implantat

RunnerBeacon-bagdøren er bygget til at understøtte en bred vifte af funktioner, herunder:

  • Kommunikation over flere protokoller: HTTP(S), WebSockets, rå TCP og SMB named pipes
  • Udførelse af shell-kommandoer og filsystemoperationer
  • Procesoptælling og afslutning
  • Privilegieeskalering via tokentyveri og efterligning
  • Lateral bevægelse inden for et netværk

Den har også avancerede anti-analyse- og undvigelsesteknikker, sammen med understøttelse af netværkscentrerede operationer som portscanning, portvideresendelse og SOCKS5-proxying.

En klon af Geacon?

RunnerBeacon udviser stærke ligheder med Go-baserede Cobalt Strike-varianter som Geacon, Geacon Plus og Geacon Pro. Det afspejler deres kommandostrukturer, kommunikationsfunktioner på tværs af protokoller og operationelle fleksibilitet. Disse træk antyder, at RunnerBeacon kan være en tilpasset eller videreudviklet forgrening af Geacon, raffineret til problemfrit at integreres i cloud-miljøer.

Udviklende trussel: Flere varianter opdaget

Cybersikkerhedsforskere identificerede tre forskellige OneClik-varianter alene i marts 2025:

  • v1a
  • BPI-MDM
  • v1d

Hver version indeholder forbedringer, der forbedrer stealth- og bypass-detektionssystemer. Spor af RunnerBeacon blev dog allerede opdaget i september 2023 hos en virksomhed i Mellemøstens olie- og gassektor, hvilket indikerer løbende udvikling og testning.

Teknikker og attribution: Velkendt, men ubekræftet

Brugen af AppDomainManager-injektion er en veldokumenteret taktik og er tidligere blevet observeret i cyberkampagner forbundet med kinesiske og nordkoreanske trusselsaktører. Trods lighederne i teknik og tilgang har forskere dog ikke været i stand til endegyldigt at tilskrive OneClik-kampagnen til nogen kendt gruppe.

Med hensyn til at identificere tegn på kompromittering bør organisationer være opmærksomme på phishing-e-mails, der leder modtagere til falske hardwareanalysewebsteder, da disse ofte er de første indgangspunkter for angrebet. Et andet rødt flag er brugen af ClickOnce-applikationer, der startes via dfsvc.exe-processen, hvilket kan indikere tilstedeværelsen af ondsindede data. Mistænkelig implementering af AppDomainManager-injektionsteknikker og udgående forbindelser til angriberkontrolleret infrastruktur, der hostes på Amazon Web Services (AWS), er også stærke indikatorer for kompromittering.

For at forsvare sig mod sådanne trusler bør virksomheder overveje at deaktivere eller nøje overvåge ClickOnce-implementeringer, især i højrisikomiljøer. Sikkerhedsteams bør være opmærksomme på unormale underprocesser, der stammer fra dfsvc.exe, og som kan være tegn på ondsindet aktivitet. Implementering af EDR-løsninger (endpoint detection and response) kan hjælpe med at identificere og afbøde AppDomain-injektionsadfærd. Derudover kan undersøgelse af netværkstrafik for usædvanlig protokolbrug, såsom uventet proxyadfærd eller portvideresendelsesforsøg, hjælpe med at opdage skjulte kommunikationskanaler.

Konklusion

OneClik-kampagnen understreger, hvordan modstandere løbende forfiner deres taktikker for at udnytte legitime teknologier. For organisationer inden for kritiske infrastruktursektorer er det fortsat vigtigt at opretholde en årvågen holdning og implementere flerlags sikkerhedsforsvar for at afbøde virkningen af sådanne avancerede trusler.


Trending

Mest sete

Indlæser...