Rabattoffert för flera licenser
Hotdatabas Skadlig programvara OneClik-skadlig programvara

OneClik-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

En sofistikerad cyberkampanj kallad OneClik riktar sig mot energi-, olje- och gassektorerna med hjälp av en blandning av vilseledande distributionsmetoder och specialbyggd skadlig kod. I centrum för denna operation ligger missbruket av Microsofts ClickOnce-teknik och en kraftfull Golang-baserad bakdörr vid namn RunnerBeacon. Även om indikatorer tyder på en möjlig koppling till kinesiska hotaktörer, är tillskrivningen fortfarande osäker.

ClickOnce: Ett tveeggat distributionsverktyg

Microsofts ClickOnce är utformat för att förenkla distributions- och uppdateringsprocessen för Windows-program, vilket möjliggör installationer med minimal användarinteraktion. Den här funktionen, som introducerades i .NET Framework 2.0, gör det möjligt för appar att köras med begränsade behörigheter utan att kräva administratörsrättigheter.

Tyvärr har denna bekvämlighet också gjort ClickOnce till en värdefull tillgång för cyberbrottslingar. Skadliga program kan distribueras med hjälp av en betrodd Windows-binärfil (dfsvc.exe), som hanterar ClickOnce-appar. Dessa appar körs som en underprocess till dfsvc.exe, vilket gör det möjligt för angripare att i smyg köra skadlig kod utan att utlösa säkerhetslarm eller behöva utökade rättigheter.

Infiltrationstaktik: Nätfiske och bedrägeri

Attackkedjan börjar med välformulerade nätfiskemejl som lockar offer till en falsk webbplats för hårdvaruanalys. När offret besöker webbplatsen levereras och startas en skadlig ClickOnce-applikation med hjälp av dfsvc.exe.

Denna laddare injicerar skadlig kod i minnet med hjälp av en metod som kallas AppDomainManager-injektion, vilket resulterar i att en krypterad skalkod körs. Den slutgiltiga nyttolasten är RunnerBeacon, en sofistikerad Golang-bakdörr.

RunnerBeacon: Ett kraftfullt och mångsidigt implantat

RunnerBeacon-bakdörren är byggd för att stödja ett brett utbud av funktioner, inklusive:

  • Kommunikation över flera protokoll: HTTP(S), WebSockets, rå TCP och SMB-namngivna pipes
  • Utförande av shell-kommandon och filsystemåtgärder
  • Processuppräkning och avslutning
  • Privilegieupptrappning via tokenstöld och personifiering
  • Lateral rörelse inom ett nätverk

Den har också avancerade antianalys- och undvikande tekniker, tillsammans med stöd för nätverkscentrerade operationer som portskanning, portvidarebefordran och SOCKS5-proxytjänster.

En klon av Geacon?

RunnerBeacon uppvisar starka likheter med Go-baserade Cobalt Strike-varianter som Geacon, Geacon Plus och Geacon Pro. Den speglar deras kommandostrukturer, kommunikationsfunktioner över protokoll och operativa flexibilitet. Dessa egenskaper tyder på att RunnerBeacon kan vara en anpassad eller utvecklad förgrening av Geacon, förfinad för att smälta in sömlöst i molnmiljöer.

Utvecklande hotbild: Flera varianter upptäckta

Cybersäkerhetsforskare identifierade tre distinkta OneClik-varianter enbart i mars 2025:

  • v1a
  • BPI-MDM
  • v1d

Varje version innehåller förbättringar som förbättrar system för smygdetektering och förbikopplingsdetektering. Spår av RunnerBeacon upptäcktes dock redan i september 2023 hos ett företag i Mellanösterns olje- och gassektor, vilket tyder på pågående utveckling och testning.

Tekniker och attribution: Bekant men obekräftad

Användningen av AppDomainManager-injektion är en väl dokumenterad taktik och har tidigare observerats i cyberkampanjer associerade med kinesiska och nordkoreanska hotaktörer. Trots likheterna i teknik och tillvägagångssätt har forskare inte kunnat slutgiltigt tillskriva OneClik-kampanjen till någon känd grupp.

När det gäller att identifiera tecken på kompromettering bör organisationer vara uppmärksamma på nätfiskemeddelanden som leder mottagare till bedrägliga webbplatser för hårdvaruanalys, eftersom dessa ofta är de första ingångspunkterna för attacken. En annan varningssignal är användningen av ClickOnce-applikationer som startas via dfsvc.exe-processen, vilket kan indikera förekomsten av skadliga nyttolaster. Misstänkt distribution av AppDomainManager-injektionstekniker och utgående anslutningar till angriparkontrollerad infrastruktur som finns på Amazon Web Services (AWS) är också starka indikatorer på kompromettering.

För att skydda sig mot sådana hot bör företag överväga att inaktivera eller noggrant övervaka ClickOnce-distributioner, särskilt i högriskmiljöer. Säkerhetsteam bör vara uppmärksamma på avvikande underprocesser som härrör från dfsvc.exe, vilket kan signalera skadlig aktivitet. Att distribuera lösningar för endpoint detection and response (EDR) kan hjälpa till att identifiera och mildra AppDomain-injektionsbeteenden. Dessutom kan undersökning av nätverkstrafik för ovanlig protokollanvändning, såsom oväntat proxybeteende eller portvidarebefordransförsök, hjälpa till att upptäcka dolda kommunikationskanaler.

Slutsats

OneClik-kampanjen understryker hur motståndare ständigt förfinar sina taktiker för att utnyttja legitima teknologier. För organisationer inom kritiska infrastruktursektorer är det fortfarande viktigt att upprätthålla en vaksam hållning och implementera flerskiktade säkerhetsförsvar för att mildra effekterna av sådana avancerade hot.

 

Trendigt

Mest sedda

Läser in...