Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware OneClik-Malware

OneClik-Malware

Von Mezo in Malware
Übersetzen Sie in:

Eine ausgeklügelte Cyber-Kampagne namens OneClik zielt auf die Energie-, Öl- und Gasbranche ab und nutzt dabei eine Mischung aus irreführenden Einsatzmethoden und maßgeschneiderter Schadsoftware. Im Mittelpunkt dieser Operation steht der Missbrauch der Microsoft ClickOnce-Technologie und einer leistungsstarken Golang-basierten Backdoor namens RunnerBeacon. Obwohl Hinweise auf eine mögliche Verbindung zu chinesischen Bedrohungsakteuren hindeuten, ist die Zuordnung noch unsicher.

ClickOnce: Ein zweischneidiges Bereitstellungstool

Microsoft ClickOnce vereinfacht die Bereitstellung und Aktualisierung von Windows-Anwendungen und ermöglicht Installationen mit minimaler Benutzerinteraktion. Diese mit .NET Framework 2.0 eingeführte Funktion ermöglicht die Ausführung von Apps mit eingeschränkten Berechtigungen, ohne dass Administratorrechte erforderlich sind.

Leider hat dieser Komfort ClickOnce auch zu einem wertvollen Werkzeug für Cyberkriminelle gemacht. Schädliche Anwendungen können mithilfe einer vertrauenswürdigen Windows-Binärdatei (dfsvc.exe) bereitgestellt werden, die ClickOnce-Apps verwaltet. Diese Apps werden als untergeordneter Prozess von dfsvc.exe ausgeführt, sodass Angreifer heimlich Schadcode ausführen können, ohne Sicherheitsalarme auszulösen oder erhöhte Berechtigungen zu benötigen.

Infiltrationstaktiken: Phishing und Täuschung

Die Angriffskette beginnt mit gut gestalteten Phishing-E-Mails, die die Opfer auf eine gefälschte Website zur Hardwareanalyse locken. Sobald das Opfer die Website besucht, wird eine schädliche ClickOnce-Anwendung bereitgestellt und mithilfe von dfsvc.exe gestartet.

Dieser Loader schleust mithilfe einer sogenannten AppDomainManager-Injektion Schadcode in den Speicher ein, was zur Ausführung eines verschlüsselten Shellcodes führt. Die ultimative Nutzlast ist RunnerBeacon, eine ausgeklügelte Golang-Backdoor.

RunnerBeacon: Ein leistungsstarkes und vielseitiges Implantat

Die RunnerBeacon-Hintertür ist so konzipiert, dass sie eine breite Palette von Funktionen unterstützt, darunter:

  • Kommunikation über mehrere Protokolle: HTTP(S), WebSockets, Raw TCP und SMB Named Pipes
  • Ausführung von Shell-Befehlen und Dateisystemoperationen
  • Prozessaufzählung und -beendigung
  • Rechteausweitung durch Token-Diebstahl und Identitätsbetrug
  • Laterale Bewegung innerhalb eines Netzwerks

Es verfügt außerdem über erweiterte Anti-Analyse- und Umgehungstechniken sowie Unterstützung für netzwerkzentrierte Vorgänge wie Port-Scanning, Port-Weiterleitung und SOCKS5-Proxying.

Ein Klon von Geacon?

RunnerBeacon weist starke Ähnlichkeiten mit Go-basierten Cobalt Strike-Varianten wie Geacon, Geacon Plus und Geacon Pro auf. Es spiegelt deren Befehlsstrukturen, protokollübergreifende Kommunikationsfunktionen und operative Flexibilität wider. Diese Merkmale deuten darauf hin, dass RunnerBeacon ein angepasster oder weiterentwickelter Fork von Geacon sein könnte, der so optimiert wurde, dass er sich nahtlos in Cloud-Umgebungen einfügt.

Sich entwickelnde Bedrohung: Mehrere Varianten erkannt

Cybersicherheitsforscher identifizierten allein im März 2025 drei verschiedene OneClik-Varianten:

  • v1a
  • BPI-MDM
  • v1d

Jede Version enthält Verbesserungen, die die Tarn- und Bypass-Erkennungssysteme verbessern. Spuren von RunnerBeacon wurden jedoch bereits im September 2023 bei einem Unternehmen im Öl- und Gassektor des Nahen Ostens entdeckt, was auf laufende Entwicklungen und Tests hindeutet.

Techniken und Zuordnung: Bekannt, aber unbestätigt

Der Einsatz von AppDomainManager-Injection ist eine gut dokumentierte Taktik und wurde bereits in Cyber-Kampagnen chinesischer und nordkoreanischer Bedrohungsakteure beobachtet. Trotz der Ähnlichkeiten in Technik und Ansatz konnten Forscher die OneClik-Kampagne jedoch keiner bekannten Gruppe eindeutig zuordnen.

Um Anzeichen einer Kompromittierung zu erkennen, sollten Unternehmen auf Phishing-E-Mails achten, die Empfänger auf betrügerische Websites zur Hardwareanalyse weiterleiten, da diese oft die ersten Angriffspunkte darstellen. Ein weiteres Warnsignal ist die Verwendung von ClickOnce-Anwendungen, die über den Prozess dfsvc.exe gestartet werden. Dies kann auf das Vorhandensein schädlicher Payloads hinweisen. Der verdächtige Einsatz von AppDomainManager-Injektionstechniken und ausgehende Verbindungen zu einer vom Angreifer kontrollierten Infrastruktur auf Amazon Web Services (AWS) sind ebenfalls starke Indikatoren für eine Kompromittierung.

Um sich gegen solche Bedrohungen zu schützen, sollten Unternehmen insbesondere in Hochrisikoumgebungen ClickOnce-Bereitstellungen deaktivieren oder genau überwachen. Sicherheitsteams sollten auf anomale Kindprozesse achten, die von dfsvc.exe ausgehen und auf bösartige Aktivitäten hinweisen könnten. Der Einsatz von Endpoint Detection and Response (EDR)-Lösungen kann helfen, AppDomain-Injection-Verhalten zu identifizieren und zu entschärfen. Darüber hinaus kann die Untersuchung des Netzwerkverkehrs auf ungewöhnliche Protokollnutzung, wie z. B. unerwartetes Proxy-Verhalten oder Portweiterleitungsversuche, helfen, verdeckte Kommunikationskanäle zu erkennen.

Abschluss

Die OneClik-Kampagne unterstreicht, wie Angreifer ihre Taktiken ständig verfeinern, um legitime Technologien auszunutzen. Für Organisationen in kritischen Infrastruktursektoren ist es weiterhin unerlässlich, wachsam zu bleiben und mehrschichtige Sicherheitsmaßnahmen zu implementieren, um die Auswirkungen solcher fortschrittlichen Bedrohungen einzudämmen.


Im Trend

Am häufigsten gesehen

Wird geladen...