OneClik-skadevare gjemmer seg i vanlig synsfelt
Table of Contents
En ny type cyberinntrenging
Nettsikkerhetseksperter har avdekket en svært målrettet skadevarekampanje kjent som OneClik . Denne operasjonen er ikke et typisk spredskuddangrep – det er en fokusert innsats rettet direkte mot verdifulle industrier som energi, olje og gass. Det som gjør OneClik bemerkelsesverdig er bruken av Microsofts ClickOnce -teknologi, et legitimt verktøy utviklet for å gjøre programvaredistribusjon sømløs for brukere. I stedet har angriperne gjort den om til et våpen for å stille levere bakdører til kritiske systemer.
Å leve av landet: Angripernes unnvikelsesstrategi
I stedet for å stole på støyende skadelig programvare som utløser alarmer, har OneClik en mer subtil tilnærming. Kampanjen er i tråd med en bredere bransjetrend kjent som «living-off-the-land»-teknikker – bruk av pålitelige systemverktøy og plattformer for å operere uoppdaget. Angriperne blander ondsinnede prosesser inn i normale arbeidsflyter i bedriften, noe som gjør deteksjon ekstremt vanskelig. Selv om noen kjennetegn tyder på koblinger til kinesisk-tilknyttede trusselgrupper, er sikkerhetsanalytikere fortsatt forsiktige med å plassere skylden.
Fra phishing til full kontroll
Angrepskjeden starter med en tilsynelatende enkel phishing-e-post. Ofrene blir omdirigert til et falskt nettsted som etterligner et legitimt maskinvareanalyseverktøy. Når dette nettstedet besøkes, leverer det i stillhet en ClickOnce-applikasjon. Selv om dette kan virke harmløst, er applikasjonen faktisk en .NET-basert laster som utløser en kompleks kjede av hendelser. I sentrum av denne kjeden er en kraftig bakdør kjent som RunnerBeacon .
RunnerBeacon: Kjerneimplantatet
RunnerBeacon er bygget med programmeringsspråket Go og er designet for stealth og allsidighet. Den kommuniserer med operatørene sine ved hjelp av ulike protokoller, inkludert HTTPS, rå TCP og til og med Windows-navngitte pipes. Dette lar skadevaren utføre et bredt spekter av aktiviteter: lese og endre filer, skanne interne nettverk, utføre skallkommandoer, stjele tokens for privilegiumsøkning og bevege seg lateralt gjennom nettverket. Det er ikke bare et fotfeste – det er et verktøysett for dyp systemkompromittering.
Ingen administratorrettigheter kreves: Hvorfor ClickOnce er viktig
Et av kampanjens smarteste triks ligger i misbruket av ClickOnce. Denne Microsoft-teknologien brukes vanligvis til å installere programvare uten behov for administratorrettigheter. Angripere utnytter dette til å lansere skadelig programvare uten å varsle eller be om mistenkelige tillatelser. Den skadelige appen kjører gjennom en pålitelig Windows-prosess, dfsvc.exe, og bruker en sjelden sett taktikk kjent som AppDomainManager-injeksjon for å kjøre kryptert skallkode i minnet – noe som gjør rettsmedisinsk gjenoppretting vanskelig.
Ikke en engangshendelse: Utviklende varianter i naturen
Dette er ikke én enkelt variant av skadelig programvare – det er en voksende familie. Sikkerhetsforskere har identifisert flere OneClik-varianter som dukket opp bare i 2025, hver versjon mer raffinert enn den forrige. Navn som v1a , BPI-MDM og v1d indikerer et modnende verktøysett designet for unnvikelse og vedvarende handling. Faktisk kan tidligere observasjoner av RunnerBeacon-bakdøren spores tilbake til 2023, og peker på en kampanje som har operert og utviklet seg stille over tid.
Bredere implikasjoner: Hva dette betyr for bedrifter
Implikasjonene av OneCliks aktivitet er betydelige. Evnen til å fly under radaren, unngå krav til eskalering av privilegier og operere innenfor pålitelige systemer gjør den spesielt farlig for bransjer som er avhengige av eldre systemer eller minimal endepunktbeskyttelse. Tradisjonelle antivirusverktøy og brannmurer fanger kanskje ikke opp det. Organisasjoner i infrastruktursektorer må vurdere om deres nåværende forsvar kan håndtere denne typen angrep.
Her er noen viktige tegn som kan tyde på et OneClik-lignende innbrudd:
- Uvanlig utgående trafikk til AWS eller andre skytjenester
- Ukjente underprosesser av dfsvc.exe
- Bruk av AppDomainManager eller mistenkelige .NET-samlinger
- Gradvise privilegieøkninger uten varsler
Et globalt mønster: Forbindelser til andre trusselaktører
Selv om det fortsatt er uklart hvorfor det er snakk om dette, har forskere bemerket likheter mellom OneCliks teknikker og de som brukes av statsrelaterte grupper i Nordøst-Asia. En kampanje fra en gruppe kjent som APT-Q-14 utnyttet også ClickOnce-applikasjoner, denne gangen ved å utnytte en nulldags XSS-feil i en nettbasert e-posttjeneste for å installere skadelig programvare uten klikk i det hele tatt. Overlappingen i taktikker tyder på enten delte verktøy eller en felles strategi blant regionale trusselaktører.
Tilpasningsevne er det nye våpenet
Det som skiller OneClik fra tradisjonell skadevare er fleksibiliteten. Den er ikke avhengig av blockbuster-sårbarheter eller brute-force-metoder. I stedet tilpasser den seg. Den bruker pålitelige plattformer som AWS, skjuler kommunikasjonen sin og utvikler seg i sanntid. Dette er symbolsk for et bredere skifte i cybertrusler: bort fra volum og mot stealth og presisjon.
Avsluttende tanker
OneClik-kampanjen er en klar påminnelse om at selv legitime teknologier kan brukes på nytt til ondsinnede formål. For sikkerhetsteam betyr dette å se utover overflatebeskyttelse og investere i atferdsanalyse, avviksdeteksjon og avansert overvåking. Ettersom trusselaktører ikke slutter å forbedre metodene sine, må forsvarere matche dem i smidighet og innsikt. Fremtiden for cybersikkerhet ligger i å forstå ikke bare hva angripere gjør – men hvor stille de gjør det.
