ClickOnce превратился в удобный мост для атак на энергетику, нефтегаз и критические компании.
Киберпреступники начали под названием OneClik, направленную против энергетических, нефтяных и газовых компаний. В атаке используются легитимный инструмент и специально разработанный бэкдор RunnerBeacon, что позволяет злоумышленникам скрывать присутствие в системах и избегать обнаружения.
Технология ClickOnce предназначена для установки и автоматического обновления приложений Windows с минимальным участием пользователя. Этим , распространяя вредоносные программы под видом безопасных приложений.
Специалисты компании Trellix изучили три варианта кампании — v1a, BPI-MDM и v1d. Все они используют бэкдор RunnerBeacon на языке Go, который распространяется через загрузчик OneClikNet на платформе .NET. С каждой версией злоумышленники усложняли методы обхода защиты и сокрытия инфраструктуры.
Атака начинается с фишингового письма, содержащего ссылку на поддельный сайт для анализа оборудования, размещённый в облачной инфраструктуре Azure. Пользователю предлагается скачать файл .APPLICATION — это манифест ClickOnce, замаскированный под легитимное приложение. Программа запускается через системный процесс dfsvc.exe, что позволяет избежать стандартных предупреждений безопасности.
После запуска происходит внедрение в .NET-приложение с помощью техники AppDomainManager. Это позволяет загрузить вредоносный код вместо обычных зависимостей. Для сокрытия связи с командным сервером злоумышленники применяют сервисы Amazon — AWS Cloudfront, API Gateway и Lambda, маскируя вредоносный трафик под стандартное облачное взаимодействие.
Бэкдор RunnerBeacon шифрует весь трафик с помощью алгоритма RC4 и использует формат сериализации MessagePack. Он поддерживает выполнение команд оболочки, управление файлами, сканирование портов и установку прокси-соединения через SOCKS5. Среди дополнительных возможностей — внедрение в процессы и подготовка к повышению привилегий.
По мнению специалистов, RunnerBeacon схож с известными инструментами Geacon на базе языка Go. Есть основания полагать, что RunnerBeacon — это модифицированная версия, адаптированная для скрытного использования в облачных средах.
Хотя кампания OneClik была зафиксирована только в марте этого года, отдельные компоненты атаки обнаруживались и раньше. В сентябре 2023 года аналогичный загрузчик был найден в одной из компаний Ближнего Востока, работающей в нефтегазовом секторе.
Набор используемых техник — облачные сервисы, внедрение в процессы .NET, шифрование нагрузки — совпадает с методами, ранее применяемыми хакерскими группами из Китая. Однако доказательства пока недостаточны для однозначного вывода о происхождении атаки.
Специалисты Trellix опубликовали список индикаторов компрометации, включая фишинговые письма, вредоносные загрузчики, исполняемые файлы, домены и конфигурации, что позволяет организациям выявлять и блокировать угрозу.
Подробнее:
Киберпреступники начали под названием OneClik, направленную против энергетических, нефтяных и газовых компаний. В атаке используются легитимный инструмент и специально разработанный бэкдор RunnerBeacon, что позволяет злоумышленникам скрывать присутствие в системах и избегать обнаружения.
Технология ClickOnce предназначена для установки и автоматического обновления приложений Windows с минимальным участием пользователя. Этим , распространяя вредоносные программы под видом безопасных приложений.
Специалисты компании Trellix изучили три варианта кампании — v1a, BPI-MDM и v1d. Все они используют бэкдор RunnerBeacon на языке Go, который распространяется через загрузчик OneClikNet на платформе .NET. С каждой версией злоумышленники усложняли методы обхода защиты и сокрытия инфраструктуры.
Атака начинается с фишингового письма, содержащего ссылку на поддельный сайт для анализа оборудования, размещённый в облачной инфраструктуре Azure. Пользователю предлагается скачать файл .APPLICATION — это манифест ClickOnce, замаскированный под легитимное приложение. Программа запускается через системный процесс dfsvc.exe, что позволяет избежать стандартных предупреждений безопасности.
После запуска происходит внедрение в .NET-приложение с помощью техники AppDomainManager. Это позволяет загрузить вредоносный код вместо обычных зависимостей. Для сокрытия связи с командным сервером злоумышленники применяют сервисы Amazon — AWS Cloudfront, API Gateway и Lambda, маскируя вредоносный трафик под стандартное облачное взаимодействие.
Бэкдор RunnerBeacon шифрует весь трафик с помощью алгоритма RC4 и использует формат сериализации MessagePack. Он поддерживает выполнение команд оболочки, управление файлами, сканирование портов и установку прокси-соединения через SOCKS5. Среди дополнительных возможностей — внедрение в процессы и подготовка к повышению привилегий.
По мнению специалистов, RunnerBeacon схож с известными инструментами Geacon на базе языка Go. Есть основания полагать, что RunnerBeacon — это модифицированная версия, адаптированная для скрытного использования в облачных средах.
Хотя кампания OneClik была зафиксирована только в марте этого года, отдельные компоненты атаки обнаруживались и раньше. В сентябре 2023 года аналогичный загрузчик был найден в одной из компаний Ближнего Востока, работающей в нефтегазовом секторе.
Набор используемых техник — облачные сервисы, внедрение в процессы .NET, шифрование нагрузки — совпадает с методами, ранее применяемыми хакерскими группами из Китая. Однако доказательства пока недостаточны для однозначного вывода о происхождении атаки.
Специалисты Trellix опубликовали список индикаторов компрометации, включая фишинговые письма, вредоносные загрузчики, исполняемые файлы, домены и конфигурации, что позволяет организациям выявлять и блокировать угрозу.
Подробнее:
