OneClik-Malware: Neue Bedrohung für die Energiebranche

LONDON (IT BOLTWISE) – Eine neue Malware-Kampagne namens OneClik zielt auf die Energiebranche ab und nutzt dabei Microsofts ClickOnce-Technologie sowie maßgeschneiderte Golang-Backdoors.

Cybersecurity-Experten haben eine neue Bedrohung für die Energiebranche identifiziert: Die OneClik-Malware nutzt Microsofts ClickOnce-Technologie und maßgeschneiderte Golang-Backdoors, um Unternehmen im Energie-, Öl- und Gassektor zu kompromittieren. Diese Kampagne zeigt Merkmale, die mit chinesischen Bedrohungsakteuren in Verbindung gebracht werden, obwohl die Zuordnung vorsichtig bleibt. Die Methoden spiegeln einen breiteren Trend zu ‘Living-off-the-Land’-Taktiken wider, bei denen bösartige Operationen in Cloud- und Unternehmenswerkzeuge integriert werden, um traditionelle Erkennungsmechanismen zu umgehen. Die Phishing-Angriffe verwenden einen .NET-basierten Loader namens OneClikNet, um eine ausgeklügelte Go-basierte Backdoor mit dem Codenamen RunnerBeacon zu installieren. Diese Backdoor kommuniziert mit einer von Angreifern kontrollierten Infrastruktur, die über Amazon Web Services (AWS) verschleiert wird. ClickOnce wird von Microsoft als eine Möglichkeit angeboten, Windows-basierte Anwendungen mit minimaler Benutzerinteraktion zu installieren und zu aktualisieren. Diese Technologie kann jedoch von Bedrohungsakteuren genutzt werden, um ihre bösartigen Nutzlasten auszuführen, ohne Verdacht zu erregen. Laut dem MITRE ATT&CK-Framework können ClickOnce-Anwendungen verwendet werden, um bösartigen Code über ein vertrauenswürdiges Windows-Binary, ‘dfsvc.exe’, auszuführen, das für die Installation, den Start und die Aktualisierung der Apps verantwortlich ist. Die Apps werden als Kindprozess von ‘dfsvc.exe’ gestartet. Da ClickOnce-Anwendungen nur eingeschränkte Berechtigungen erhalten, benötigen sie keine administrativen Berechtigungen zur Installation. Daher können Angreifer ClickOnce missbrauchen, um die Ausführung von bösartigem Code zu proxyen, ohne die Berechtigungen eskalieren zu müssen. Trellix berichtet, dass die Angriffsketten mit Phishing-E-Mails beginnen, die einen Link zu einer gefälschten Hardware-Analyse-Website enthalten, die als Vermittler zur Bereitstellung einer ClickOnce-Anwendung dient. Diese Anwendung führt dann ein ausführbares Programm mit dfsvc.exe aus. Der Binärcode ist ein ClickOnce-Loader, der durch Injektion des bösartigen Codes über eine andere Technik, bekannt als AppDomainManager-Injektion, gestartet wird, was letztendlich zur Ausführung eines verschlüsselten Shellcodes im Speicher führt, um die RunnerBeacon-Backdoor zu laden. Das Golang-Implantat kann mit einem Command-and-Control (C2)-Server über HTTP(s), WebSockets, rohes TCP und SMB-Named Pipes kommunizieren, was ihm ermöglicht, Dateioperationen durchzuführen, laufende Prozesse aufzulisten und zu beenden, Shell-Befehle auszuführen, Berechtigungen durch Token-Diebstahl und -Imitation zu eskalieren und sich lateral zu bewegen. Darüber hinaus integriert die Backdoor Anti-Analyse-Funktionen zur Erkennungsevasion und unterstützt Netzwerkoperationen wie Port-Scanning, Port-Weiterleitung und das SOCKS5-Protokoll zur Erleichterung von Proxy- und Routing-Funktionen. Die Struktur und Funktionalität von RunnerBeacon ähnelt bekannten Go-basierten Cobalt-Strike-Beacons, was darauf hindeutet, dass RunnerBeacon ein weiterentwickelter Fork oder eine privat modifizierte Variante von Geacon sein könnte, die für unauffälligere und cloudfreundliche Operationen angepasst wurde. Im März 2025 wurden drei verschiedene Varianten von OneClick beobachtet: v1a, BPI-MDM und v1d, wobei jede Iteration zunehmend verbesserte Fähigkeiten zur Umgehung der Erkennung zeigt. Eine Variante von RunnerBeacon wurde im September 2023 bei einem Unternehmen im Nahen Osten im Öl- und Gassektor identifiziert. Obwohl Techniken wie AppDomainManager-Injektion in der Vergangenheit von China- und Nordkorea-verbundenen Bedrohungsakteuren verwendet wurden, wurde die Aktivität bisher keinem bekannten Bedrohungsakteur oder Gruppe formell zugeordnet. Diese Entwicklung erfolgt, während QiAnXin eine Kampagne eines Bedrohungsakteurs namens APT-Q-14 detailliert beschreibt, der ebenfalls ClickOnce-Apps verwendet, um Malware durch Ausnutzung einer Zero-Day-Cross-Site-Scripting (XSS)-Schwachstelle in der Webversion einer nicht genannten E-Mail-Plattform zu verbreiten. Die Schwachstelle wurde inzwischen gepatcht. Das XSS-Problem wird automatisch ausgelöst, wenn ein Opfer eine Phishing-E-Mail öffnet, was den Download der ClickOne-App verursacht. Der Körper der Phishing-E-Mail stammt von Yahoo News und stimmt mit der Opferbranche überein. Die Einbruchssequenz dient als Posteingangsanleitung als Ablenkung, während ein bösartiger Trojaner heimlich auf dem Windows-Host installiert wird, um Systeminformationen zu sammeln und an einen C2-Server zu exfiltrieren sowie unbekannte Payloads der nächsten Stufe zu empfangen. Das chinesische Cybersicherheitsunternehmen sagte, dass APT-Q-14 sich auch auf Zero-Day-Schwachstellen in E-Mail-Software für die Android-Plattform konzentriert. APT-Q-14 wird von QiAnXin als aus Nordostasien stammend beschrieben und weist Überschneidungen mit anderen Clustern auf, die als APT-Q-12 (auch bekannt als Pseudo Hunter) und APT-Q-15 bezeichnet werden, die als Untergruppen innerhalb einer südkoreanisch ausgerichteten Bedrohungsgruppe namens DarkHotel (auch bekannt als APT-C-06) bewertet werden. Anfang dieser Woche enthüllte das in Peking ansässige 360 Threat Intelligence Center die Verwendung der Bring Your Own Vulnerable Driver (BYOVD)-Technik durch DarkHotel, um Microsoft Defender Antivirus zu beenden und Malware im Rahmen eines Phishing-Angriffs zu installieren, der im Februar 2025 gefälschte MSI-Installationspakete lieferte. Die Malware ist darauf ausgelegt, eine Kommunikation mit einem Remote-Server herzustellen, um nicht spezifizierten Shellcode herunterzuladen, zu entschlüsseln und auszuführen. Im Allgemeinen haben sich die Taktiken der Hackergruppe in den letzten Jahren als ‘einfach’ erwiesen: Im Gegensatz zur früheren Verwendung von schwerwiegenden Schwachstellen hat sie flexible und neuartige Liefermethoden und Angriffstechniken übernommen. In Bezug auf die Angriffsziele konzentriert sich APT-C-06 weiterhin auf nordkoreanische Händler, und die Anzahl der im gleichen Zeitraum angegriffenen Ziele ist größer.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!