Verborgene Angriffe: Hacker nutzen Microsoft ClickOnce und AWS-Dienste

LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt, in der Unternehmen auf Cloud-Dienste und automatisierte Software-Deployments setzen, haben Hacker eine neue Methode entwickelt, um unbemerkt in Unternehmensnetzwerke einzudringen. Eine raffinierte Kampagne namens OneClik nutzt Microsofts ClickOnce-Technologie und AWS-Dienste, um ihre Angriffe zu verschleiern.

Die OneClik-Kampagne, die von Sicherheitsforschern entdeckt wurde, zielt auf Organisationen in den Bereichen Energie, Öl und Gas ab. Die Angreifer verwenden Microsofts ClickOnce, ein Tool zur Softwarebereitstellung, das Entwicklern ermöglicht, selbstaktualisierende Windows-Anwendungen zu erstellen. Diese Technologie wird von den Hackern missbraucht, um bösartige Payloads zu verbreiten, ohne die Benutzerkontensteuerung auszulösen.

Ein zentraler Bestandteil der Angriffe ist die Nutzung legitimer AWS-Dienste wie Cloudfront und API Gateway, um die Command-and-Control-Infrastruktur zu verbergen. Diese Dienste lassen den Datenverkehr wie normalen Cloud-Traffic erscheinen, was die Erkennung durch Sicherheitslösungen erschwert. Die Angreifer nutzen die hohe Vertrauenswürdigkeit und Verfügbarkeit von AWS, um ihre Aktivitäten zu tarnen.

Die Sicherheitsforscher von Trellix haben drei Varianten der Kampagne analysiert, die alle einen Golang-basierten Backdoor namens RunnerBeacon einsetzen. Diese Backdoor verschlüsselt den gesamten Datenverkehr mit dem RC4-Algorithmus und nutzt MessagePack zur Datenserialisierung. Die modularen Nachrichtenprotokolle ermöglichen es den Angreifern, verschiedene Befehle auszuführen, darunter das Ausführen von Shell-Befehlen und das Einrichten eines SOCKS5-Tunnels.

Die Angriffe beginnen häufig mit Phishing-E-Mails, die auf gefälschte Hardware-Analyse-Websites im Azure-Ökosystem verlinken. Dort wird eine ClickOnce-Anwendung bereitgestellt, die als legitimes Tool getarnt ist. Nach der Ausführung wird der bösartige Code über eine Technik namens AppDomainManager-Injektion geladen, die es den Angreifern ermöglicht, legitime .NET-Executables zu kapern.

Obwohl die Hinweise auf eine Verbindung zu China-affiliierten Bedrohungsakteuren hindeuten, sind die Forscher bei der Zuschreibung vorsichtig. Die verwendeten Techniken und Methoden ähneln jedoch denen, die in anderen Kampagnen chinesischer Akteure beobachtet wurden. Die Nutzung von Cloud-Diensten für die Staging-Phase ist ebenfalls ein bekanntes Muster.

Die Entdeckung dieser Kampagne unterstreicht die Notwendigkeit, Sicherheitsmaßnahmen zu verstärken und die Überwachung von Cloud-Diensten zu verbessern. Unternehmen sollten ihre Sicherheitsstrategien überdenken und sicherstellen, dass ihre Systeme gegen solche ausgeklügelten Angriffe geschützt sind.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

17,84 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

29,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!