OneClik 惡意軟體隱藏在顯而易見的地方

新型網路入侵

網路安全專家發現了一個名為「OneClik」的惡意軟體攻擊活動，該活動針對性極強。這次攻擊並非典型的散彈式攻擊，而是集中式攻擊，直接瞄準能源、石油和天然氣等高價值產業。 OneClik 的顯著特點在於它使用了微軟的ClickOnce技術，該技術旨在為用戶提供無縫軟體部署的合法工具。然而，攻擊者將其變成了一種武器，悄悄地向關鍵系統植入後門。

靠土地生存：攻擊者的規避策略

OneClik 並沒有依賴那些觸發警報的惡意軟體，而是採取了更隱密的手段。這次攻擊活動符合業界一種名為「離地攻擊」（living-off-the-land）的廣泛趨勢－利用受信任的系統工具和平台進行不被發現的攻擊。攻擊者將惡意流程融入正常的企業工作流程，使得偵測變得極為困難。儘管一些特徵顯示該攻擊與與中國相關的威脅組織存在關聯，但安全分析師在追責方面仍持謹慎態度。

從網路釣魚到完全控制

攻擊鏈始於一封看似簡單的釣魚郵件。受害者會被重新導向到一個偽裝成合法硬體分析工具的假網站。造訪該網站時，它會悄悄地載入一個 ClickOnce 應用程式。雖然這看似無害，但該應用程式實際上是一個基於 .NET 的載入程序，會觸發一系列複雜的事件。而這條攻擊鏈的核心是一個強大的後門程序，名為RunnerBeacon 。

RunnerBeacon：核心植入

RunnerBeacon 採用 Go 程式語言構建，旨在實現隱蔽性和多功能性。它使用各種協定與其操作員通信，包括 HTTPS、原始 TCP，甚至 Windows 命名管道。這使得該惡意軟體能夠執行各種活動：讀取和修改檔案、掃描內部網路、執行 Shell 命令、竊取令牌以提升權限以及在網路中橫向移動。它不只是一個立足點，更是深度系統入侵的工具包。

無需管理員權限：ClickOnce 為何重要

該活動最巧妙的伎倆之一在於濫用 ClickOnce 技術。這項 Microsoft 技術通常用於在無需管理員權限的情況下安裝軟體。攻擊者利用這一點啟動惡意軟體，無需發出警報或請求可疑權限。該惡意應用程式透過受信任的 Windows 進程 dfsvc.exe 運行，並採用一種罕見的策略（稱為 AppDomainManager 注入）在記憶體中執行加密的 Shellcode，這使得取證復原變得困難。

並非個案：野外進化的變種

這並非單一的惡意軟體變種，而是一個不斷成長的家族。安全研究人員僅在2025年就發現了幾種OneClik變種，每個版本都比上一個更精細。 v1a、 BPI-MDM和v1d等名稱表明，這套用於規避攻擊和持久化攻擊的工具集正在日趨成熟。事實上，RunnerBeacon後門的早期發現可以追溯到2023年，這表明該攻擊活動一直在悄悄運作和發展。

更廣泛的影響：這對企業意味著什麼

OneClik 的活動影響深遠。它能夠躲避雷達探測、規避權限提升要求，並在受信任的系統中運行，這對於依賴舊系統或最低限度端點保護的行業來說尤其危險。傳統的防毒工具和防火牆可能無法發現它。基礎設施領域的組織必須考慮其當前的防禦能力是否能夠應對此類攻擊。

以下是一些可能表明存在類似 OneClik 入侵行為的關鍵跡象：

• 到 AWS 或其他雲端服務的異常出站流量
• dfsvc.exe 的未知子程序
• 使用 AppDomainManager 或可疑的 .NET 組件
• 在沒有警報的情況下逐步提升權限

全球模式：與其他威脅行為者的聯繫

雖然歸因尚不明確，但研究人員注意到 OneClik 的技術與東北亞一些與政府有關的組織所使用的技術有相似之處。由一個名為APT-Q-14的組織發起的一項活動也利用了 ClickOnce 應用程序，這次他們利用了基於 Web 的電子郵件服務中的零日 XSS 漏洞，無需任何點擊即可安裝惡意軟體。這種策略上的重疊表明，這些區域威脅行為者可能使用了共享工具或相同的策略。

適應性是新武器

OneClik 與傳統惡意軟體的不同之處在於其靈活性。它不依賴重磅漏洞或暴力破解方法，而是能夠靈活適應。它使用 AWS 等可信任平台，隱藏通信，並即時演進。這象徵著網路威脅的廣泛轉變：從大規模攻擊轉向隱蔽攻擊和精準攻擊。

最後的想法

OneClik 攻擊活動清楚地提醒我們，即使是合法技術也可能被用於惡意目的。對於安全團隊而言，這意味著要超越表面防護，投資於行為分析、異常檢測和進階監控。由於威脅行為者不斷改進其攻擊方法，防禦者必須在敏捷性和洞察力方面與他們匹敵。網路安全的未來不僅在於了解攻擊者的行為，還在於了解他們如何悄無聲息地進行攻擊。