OneClik-skadlig programvara gömmer sig i synfältet
Table of Contents
En ny sorts cyberintrång
Cybersäkerhetsexperter har avslöjat en mycket riktad skadlig kampanj som kallas OneClik . Den här operationen är inte en typisk attack mot högvärdiga industrier som energi, olja och gas – det är en fokuserad insats riktad direkt mot högvärdiga industrier som energi, olja och gas. Det som gör OneClik anmärkningsvärt är dess användning av Microsofts ClickOnce -teknik, ett legitimt verktyg utformat för att göra programvarudistributionen smidig för användare. Istället har angriparna förvandlat den till ett vapen för att i tysthet leverera bakdörrar till kritiska system.
Att leva av landet: Angriparnas undanflyktsstrategi
Istället för att förlita sig på bullriga skadliga program som utlöser larm, använder OneClik en mer subtil metod. Kampanjen ligger i linje med en bredare branschtrend som kallas "living-off-the-land"-tekniker – man använder betrodda systemverktyg och plattformar för att fungera oupptäckta. Angriparna blandar in skadliga processer i normala företagsarbetsflöden, vilket gör upptäckt extremt svårt. Även om vissa egenskaper tyder på kopplingar till kinesiskt anslutna hotgrupper, är säkerhetsanalytiker fortfarande försiktiga med att lägga skulden på dem.
Från nätfiske till full kontroll
Attackkedjan börjar med ett till synes enkelt nätfiskemejl. Offren omdirigeras till en falsk webbplats som imiterar ett legitimt verktyg för hårdvaruanalys. När webbplatsen besöks levererar den i tysthet en ClickOnce-applikation. Även om detta kan verka ofarligt är applikationen i själva verket en .NET-baserad laddare som utlöser en komplex händelsekedja. I mitten av denna kedja finns en kraftfull bakdörr som kallas RunnerBeacon .
RunnerBeacon: Kärnimplantatet
RunnerBeacon är byggt med programmeringsspråket Go och är designat för stealth och mångsidighet. Det kommunicerar med sina operatörer med hjälp av olika protokoll, inklusive HTTPS, rå TCP och till och med Windows-namngivna pipes. Detta gör att skadlig programvara kan utföra en mängd olika aktiviteter: läsa och modifiera filer, skanna interna nätverk, köra shell-kommandon, stjäla tokens för privilegieeskalering och röra sig lateralt genom nätverket. Det är inte bara ett fotfäste – det är en verktygslåda för djupgående systemkompromettering.
Inga administratörsrättigheter krävs: Varför ClickOnce är viktigt
Ett av kampanjens smartaste knep ligger i dess missbruk av ClickOnce. Denna Microsoft-teknik används vanligtvis för att installera programvara utan att behöva administratörsbehörighet. Angripare utnyttjar detta för att starta sin skadliga programvara utan att varna eller be om misstänkta behörigheter. Den skadliga appen körs genom en betrodd Windows-process, dfsvc.exe, och använder en sällan skådad taktik som kallas AppDomainManager-injektion för att köra krypterad skalkod i minnet, vilket gör det svårt att återställa kriminaltekniska program.
Inte en engångsförekomst: Utvecklande varianter i naturen
Det här är inte en enda variant av skadlig kod – det är en växande familj. Säkerhetsforskare har identifierat flera OneClik-varianter som dök upp enbart under 2025, där varje version var mer förfinad än den förra. Namn som v1a , BPI-MDM och v1d indikerar en mognande verktygsuppsättning utformad för undvikande och ihärdighet. Faktum är att tidigare observationer av RunnerBeacon-bakdörren kan spåras tillbaka till 2023, vilket pekar på en kampanj som har varit i drift och utvecklats i tysthet över tid.
Bredare konsekvenser: Vad detta innebär för företag
Konsekvenserna av OneCliks aktivitet är betydande. Dess förmåga att flyga under radarn, undvika krav på privilegieeskalering och fungera inom betrodda system gör det särskilt farligt för branscher som förlitar sig på äldre system eller minimalt slutpunktsskydd. Traditionella antivirusverktyg och brandväggar kanske inte fångar upp det. Organisationer inom infrastruktursektorer måste överväga om deras nuvarande försvar kan hantera denna typ av attack.
Här är några viktiga tecken som kan tyda på ett intrång i OneClik-stil:
- Ovanlig utgående trafik till AWS eller andra molntjänster
- Okända underprocesser till dfsvc.exe
- Användning av AppDomainManager eller misstänkta .NET-sammansättningar
- Gradvisa privilegierupptrappningar utan aviseringar
Ett globalt mönster: Kopplingar till andra hotaktörer
Även om tillskrivningen fortfarande är oklar har forskare noterat likheter mellan OneCliks tekniker och de som används av statskopplade grupper i nordöstra Asien. En kampanj av en grupp känd som APT-Q-14 utnyttjade också ClickOnce-applikationer, den här gången utnyttjade de en nolldagars XSS-brist i en webbaserad e-posttjänst för att installera skadlig kod utan några klick alls. Överlappningen i taktiker tyder på antingen delade verktyg eller en gemensam strategi bland regionala hotaktörer.
Anpassningsförmåga är det nya vapnet
Det som skiljer OneClik från traditionell skadlig kod är dess flexibilitet. Den förlitar sig inte på blockbuster-sårbarheter eller brute-force-metoder. Istället anpassar den sig. Den använder betrodda plattformar som AWS, döljer sin kommunikation och utvecklas i realtid. Detta är symboliskt för ett bredare skifte inom cyberhot: bort från volym och mot smygande och precision.
Slutliga tankar
OneClik-kampanjen är en tydlig påminnelse om att även legitima tekniker kan återanvändas för skadliga ändamål. För säkerhetsteam innebär detta att se bortom ytliga skydd och investera i beteendeanalys, avvikelsedetektering och avancerad övervakning. Eftersom hotaktörer inte slutar förfina sina metoder måste försvarare matcha dem i flexibilitet och insikt. Framtiden för cybersäkerhet ligger i att förstå inte bara vad angripare gör – utan hur tyst de gör det.
