OneClik kiberkémkedési kampány
A Trellix elemzése szerint a OneClik egy célzott kiberkémkedési kampány, amely az energia-, olaj- és gázipari infrastruktúrákat célozza. A támadás középpontjában a Microsoft ClickOnce áll – egy .NET telepítési technológia –, amit a támadók leegyszerűsített phishing kampányban használnak ki. Egy hamis hardver-elemző weboldalról az áldozat egy .application fájlt indít el, amit a rendszer azonnal futtat a dfsvc.exe háttérfolyamattal, megkerülve a felhasználói jóváhagyást.
A beépített OneClikNet .NET loader ezután manipulálja az .exe.config fájlokat AppDomainManager injekcióval (MITRE T1574.014), így a rendszer betölti a támadó által szállított DLL-t már az alkalmazás elindulásakor – tipikusan a ZSATray.exe, umt.exe vagy ied.exe alá álcázva.
A kampány legalább három változatot tartalmaz, mindegyik ugyanazt a strukturált módszert használja. A végső payload egy Golang RunnerBeacon backdoor, amely az AWS felhőszolgáltatásain (CloudFront, API Gateway, Lambda) keresztül kommunikál – így a C2 forgalom nehezen különíthető el a normális cloud forgalomtól.
A Trellix elemzése szerint a RunnerBeacon komponens egy korábbi, 2023 szeptemberi támadásban is megjelent a Közel-Keleten, ami azt sugallja, hogy a OneClik kampány legalább kilenc hónapja célzottan jelen van az energetikai szektorban.
Bár a technikák – mint a .NET AppDomainManager inject, titkosított payloadok, cloud alapú C2 – hasonlítanak kínai APT csoportokhoz (például APT41), az attribúció továbbra is óvatos – nincs egyértelmű bizonyíték.
