Cybersecurity -onderzoekers hebben een nieuwe campagne gedetailleerd nagesynchroniseerd Oneclik Dat maakt gebruik van Microsoft’s ClickOnce -software -implementatietechnologie en op maat gemaakte Golang -achterdeuren om organisaties binnen de energie-, olie- en gassectoren te compromitteren.
“De campagne vertoont kenmerken die zijn afgestemd op Chinees-gelieerde dreigingsacteurs, hoewel de toeschrijving voorzichtig blijft”, zeiden Trellix-onderzoekers Nico Paulo Yturriaga en Pham Duy Phuc in een technisch schrijven.
“De methoden weerspiegelen een bredere verschuiving naar ‘wiving-off-the-land’-tactieken, waarbij kwaadaardige bewerkingen binnen cloud- en enterprise-tooling worden gecombineerd om traditionele detectiemechanismen te ontwijken.”
De phishing-aanvallen, in een notendop, maken gebruik van een .NET-gebaseerde lader die OneCliknet wordt genoemd om een geavanceerde GO-gebaseerde backdoor codenamed RunnerBeacon te implementeren die is ontworpen om te communiceren met aanvaller-gecontroleerde infrastructuur die verduisterd is met behulp van Amazon Web Services (AWS) cloudservices.
ClickOnce wordt door Microsoft aangeboden als een manier om Windows-gebaseerde applicaties te installeren en bij te werken met minimale gebruikersinteractie. Het werd geïntroduceerd in .NET Framework 2.0. De technologie kan echter een aantrekkelijk middel zijn voor bedreigingsacteurs die hun kwaadaardige ladingen willen uitvoeren zonder rode vlaggen op te richten.
Zoals opgemerkt in het MITER ATT & CK -framework, kunnen ClickOnce -applicaties worden gebruikt om kwaadaardige code uit te voeren via een Trusted Windows Binair, “DFSVC.EXE”, dat verantwoordelijk is voor het installeren, starten en bijwerken van de apps. De apps worden gelanceerd als een onderliggende proces van “dfsvc.exe.”
“Omdat ClickOnce -applicaties slechts beperkte machtigingen ontvangen, vereisen ze geen administratieve machtigingen om te installeren,” legt Miter uit. “Als zodanig kunnen tegenstanders misbruik maken van clickonce om de uitvoering van kwaadaardige code te proxy zonder te hoeven escaleren.”
Trellix zei dat de aanvalsketens beginnen met phishing -e -mails met een link naar een nep -hardware -analysewebsite die dient als een kanaal voor het leveren van een ClickOnce -applicatie, die op zijn beurt een uitvoerbaar bestand uitvoert met DFSVC.exe.
Het binaire bestand is een ClickOnce -lader die wordt gelanceerd door de kwaadwillende code te injecteren via een andere techniek die bekend staat als AppDomainManager -injectie, wat uiteindelijk resulteert in de uitvoering van een gecodeerde shellcode in het geheugen om de RunnerBeacon -achterdeur te laden.
Het Golang-implantaat kan communiceren met een opdracht-en-control (C2) -server via HTTP (s), Websockets, Raw TCP en SMB met de naam Pipes, waardoor het bestandsbewerkingen kan ophalen, opsommen en beëindigen van processen, het uitvoeren van shell-opdrachten, escaleerrechten met behulp van tokendiefstal en impontering en latere beweging.
Bovendien bevat de backdoor anti-analyse-functies om detectie te ontwijken en ondersteunt netwerkbewerkingen zoals poortscanning, port forwarding en Socks5-protocol om proxy- en routeringsfuncties te vergemakkelijken.
“Het ontwerp van RunnerBeacon parallel met bekende Go-Based Cobalt Strike Beacons (bijvoorbeeld de Geacon/Geacon Plus/Geacon Pro-familie),” zeiden de onderzoekers.
“Net als Geacon zijn de set opdrachten (shell, procesbesluiting, bestand I/O, proxying, enz.) En het gebruik van cross-protocol C2 erg vergelijkbaar. Deze structurele en functionele overeenkomsten suggereren dat runnerbeacon een geëvolueerde vork of een particulier gemodificeerde variant van GEACON, op maat gemaakt voor stealthier en wolk-vriendelijke bewerkingen kan zijn.”
Drie verschillende varianten van OneClick zijn alleen al in maart 2025 waargenomen: V1A, BPI-MDM en V1D, waarbij elke iteratie geleidelijk verbeterde mogelijkheden aantoont om onder de radar te vliegen. Dat gezegd hebbende, een variant van RunnerBeacon werd in september 2023 geïdentificeerd in een bedrijf in het Midden -Oosten in de olie- en gassector.
Hoewel technieken zoals AppDomainManager-injectie in het verleden zijn gebruikt door China- en Noord-Korea-gekoppelde dreigingsactoren, heeft de activiteit niet formeel toegeschreven aan een bekende dreigingsacteur of groep.
De ontwikkeling komt als Qianxin die een campagne beschrijft die is opgezet door een dreigingsacteur die het volgt als APT-Q-14 die ook clickonce-apps heeft gebruikt om malware te propageren door een zero-day cross-site scripting (XSS) -fout te exploiteren in de website van een niet-genaamd e-mailplatform. De kwetsbaarheid, zei het, is sindsdien gepatcht.
De XSS -fout wordt automatisch geactiveerd wanneer een slachtoffer een phishing -e -mail opent, waardoor de ClickOne -app wordt gedownload. “Het lichaam van de phishing -e -mail komt van Yahoo News, dat samenvalt met de slachtofferindustrie,” merkte Qianxin op.
De inbraakreeks dient een Mailbox-handleiding als een lokvogel, terwijl een kwaadwillende Trojan heimelijk op de Windows-host wordt geïnstalleerd om systeeminformatie te verzamelen en te exfiltreren naar een C2-server en onbekende payloads op de volgende fase te ontvangen.
Het Chinese cybersecuritybedrijf zei dat APT-Q-14 zich ook richt op nul-day kwetsbaarheden in e-mailsoftware voor het Android-platform.
APT-Q-14 is door Qianxin beschreven als afkomstig van Noordoost-Azië en overlappingen met andere clusters genaamd APT-Q-12 (aka Pseudo Hunter) en APT-Q-15, die worden beoordeeld als subgroepen binnen een Zuid-Korea-uitgelijnde bedreigingsgroep bekend als Darkhotel (Aka APT-C-06).
Eerder deze week onthulde het in Beijing gevestigde 360 Threat Intelligence Center Darkhotel’s gebruik van de Bring Your Own kwetsbare Driver (BYOVD) -techniek om Microsoft Defender Antivirus te beëindigen en malware te implementeren als onderdeel van een phishing-aanval die nep MSI-installatiepakketten in februari 2025 leverde.
De malware is ontworpen om communicatie met een externe server tot stand te brengen om niet -gespecificeerde shellcode te downloaden, decoderen en uit te voeren.
“Over het algemeen zijn de (hackinggroep) tactieken de afgelopen jaren ‘eenvoudig’ ‘eenvoudig’ geweest: anders dan het eerdere gebruik van zware kwetsbaarheden, heeft het flexibele en nieuwe leveringsmethoden en aanvalstechnieken aangenomen,” zei het bedrijf. “Wat aanvalsdoelen betreft, richt APT-C-06 zich nog steeds op Noord-Koreaanse handelaren, en het aantal in dezelfde periode aangevallen doelen is groter.”
