Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware OneClik-malware

OneClik-malware

Tegen Mezo in Malware
Vertalen naar:

Een geavanceerde cybercampagne genaamd OneClik richt zich op de energie-, olie- en gassector en gebruikt een combinatie van misleidende implementatiemethoden en speciaal ontwikkelde malware. De kern van deze operatie is het misbruik van Microsofts ClickOnce-technologie en een krachtige, op Golang gebaseerde backdoor genaamd RunnerBeacon. Hoewel indicatoren wijzen op een mogelijke link met Chinese dreigingsactoren, blijft de toeschrijving onzeker.

ClickOnce: een tweesnijdend implementatiehulpmiddel

Microsoft ClickOnce is ontworpen om het implementatie- en updateproces van Windows-applicaties te vereenvoudigen, waardoor installaties met minimale gebruikersinteractie mogelijk zijn. Deze functie, geïntroduceerd in .NET Framework 2.0, maakt het mogelijk om apps met beperkte rechten te gebruiken zonder dat beheerdersrechten nodig zijn.

Helaas heeft dit gemak ClickOnce ook tot een waardevolle troef gemaakt voor cybercriminelen. Kwaadaardige applicaties kunnen worden geïmplementeerd met behulp van een vertrouwd Windows-bestand (dfsvc.exe), dat ClickOnce-apps beheert. Deze apps worden uitgevoerd als een onderliggend proces van dfsvc.exe, waardoor aanvallers stiekem schadelijke code kunnen uitvoeren zonder beveiligingsalarmen af te geven of hogere rechten nodig te hebben.

Infiltratietactieken: phishing en misleiding

De aanvalsketen begint met goed opgestelde phishingmails die slachtoffers naar een nepwebsite voor hardwareanalyse lokken. Zodra het slachtoffer de website bezoekt, wordt een schadelijke ClickOnce-applicatie geïnstalleerd en gestart met behulp van dfsvc.exe.

Deze loader injecteert schadelijke code in het geheugen met behulp van een methode die AppDomainManager-injectie wordt genoemd, wat resulteert in de uitvoering van een gecodeerde shellcode. De ultieme payload is RunnerBeacon, een geavanceerde Golang-backdoor.

RunnerBeacon: een krachtig en veelzijdig implantaat

De RunnerBeacon-backdoor is gebouwd om een breed scala aan mogelijkheden te ondersteunen, waaronder:

  • Communicatie via meerdere protocollen: HTTP(S), WebSockets, raw TCP en SMB named pipes
  • Uitvoering van shell-opdrachten en bestandssysteembewerkingen
  • Procesopsomming en -beëindiging
  • Escalatie van privileges via tokendiefstal en imitatie
  • Laterale beweging binnen een netwerk

Het beschikt bovendien over geavanceerde anti-analyse- en ontwijkingstechnieken, samen met ondersteuning voor netwerkcentrische bewerkingen zoals poortscanning, poortdoorsturing en SOCKS5-proxying.

Een kloon van Geacon?

RunnerBeacon vertoont sterke overeenkomsten met Go-gebaseerde Cobalt Strike-varianten zoals Geacon, Geacon Plus en Geacon Pro. Het weerspiegelt hun commandostructuren, cross-protocol communicatiefuncties en operationele flexibiliteit. Deze kenmerken suggereren dat RunnerBeacon mogelijk een aangepaste of doorontwikkelde fork van Geacon is, verfijnd om naadloos te integreren in cloudomgevingen.

Evoluerende dreiging: meerdere varianten gedetecteerd

Cybersecurityonderzoekers identificeerden alleen al in maart 2025 drie verschillende OneClik-varianten:

  • v1a
  • BPI-MDM
  • v1d

Elke versie bevat verbeteringen die stealth- en bypassdetectiesystemen verbeteren. Sporen van RunnerBeacon werden echter al in september 2023 aangetroffen bij een bedrijf in de olie- en gassector in het Midden-Oosten, wat wijst op voortdurende ontwikkeling en tests.

Technieken en toeschrijving: bekend maar onbevestigd

Het gebruik van AppDomainManager-injectie is een goed gedocumenteerde tactiek en is eerder waargenomen in cybercampagnes die verband hielden met Chinese en Noord-Koreaanse cybercriminelen. Ondanks de overeenkomsten in techniek en aanpak zijn onderzoekers er echter niet in geslaagd de OneClik-campagne definitief aan een bekende groep toe te schrijven.

Om tekenen van een inbreuk te identificeren, moeten organisaties alert zijn op phishingmails die ontvangers doorverwijzen naar frauduleuze websites voor hardwareanalyse, aangezien dit vaak de eerste toegangspunten voor aanvallen zijn. Een ander waarschuwingssignaal is het gebruik van ClickOnce-applicaties die worden gestart via het dfsvc.exe-proces, wat kan wijzen op de aanwezigheid van kwaadaardige payloads. Verdachte implementatie van AppDomainManager-injectietechnieken en uitgaande verbindingen naar door aanvallers beheerde infrastructuur die wordt gehost op Amazon Web Services (AWS) zijn ook sterke indicatoren van een inbreuk.

Om zich tegen dergelijke bedreigingen te beschermen, zouden bedrijven moeten overwegen ClickOnce-implementaties uit te schakelen of nauwlettend te monitoren, met name in omgevingen met een hoog risico. Beveiligingsteams moeten letten op afwijkende onderliggende processen die voortkomen uit dfsvc.exe, wat kan wijzen op kwaadaardige activiteit. De implementatie van Endpoint Detection and Response (EDR)-oplossingen kan helpen bij het identificeren en beperken van AppDomain-injectiegedrag. Daarnaast kan het onderzoeken van netwerkverkeer op ongebruikelijk protocolgebruik, zoals onverwacht proxygedrag of poortdoorstuurpogingen, helpen bij het detecteren van verborgen communicatiekanalen.

Conclusie

De OneClik-campagne onderstreept hoe aanvallers hun tactieken voortdurend verfijnen om legitieme technologieën te misbruiken. Voor organisaties binnen kritieke infrastructuursectoren blijven waakzaamheid en de implementatie van meerlaagse beveiligingsmaatregelen essentieel om de impact van dergelijke geavanceerde bedreigingen te beperken.


Trending

Meest bekeken

Bezig met laden...