СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.06.2025
#Dev#ИБ#ИИ#Инфра#Облака

APT OneClik: новая угроза для энергетики с обходом защиты

APT OneClik: новая угроза для энергетики с обходом защиты

Новая кампания APT OneClik угрожает энергетическому сектору с использованием технологии Microsoft ClickOnce

Центр перспективных исследований Trellix выпустил подробный отчет о деятельности опасной кампании вредоносного ПО APT, получившей название OneClik. Главной целью злоумышленников стали энергетический, нефтяной и газовый сектора, где атаки проводятся с помощью фишинговых методов и эксплуатации технологии Microsoft ClickOnce. Эксперты предполагают связь OneClik с хакерскими группировками из Китая, хотя прямых доказательств пока нет.

Особенности и методы атаки

OneClik демонстрирует типичный для современных APT-кампаний подход «жить за счет земли»: злоумышленники активно используют легитимные облачные и корпоративные сервисы для обхода традиционных механизмов защиты.

  • Кампания включает три основных варианта вредоносного ПО — v1a, BPI-MDM и v1d.
  • В каждом варианте задействован общий .NET-загрузчик с названием OneClikNet.
  • OneClikNet запускает сложный бэкдор RunnerBeacon, написанный на Golang, который взаимодействует с инфраструктурой, размещенной в легитимных сервисах AWS — таких как CloudFront и API Gateway, что значительно усложняет обнаружение вредоносного трафика.

Использование технологии ClickOnce для сокрытия вредоносного кода

Технология ClickOnce применяется злоумышленниками для скрытого запуска программного кода под видом надежных приложений. Загрузчик запускается через службу развертывания dfsvc.exe, что позволяет активировать вредоносный код автоматически, без необходимости повышенных прав пользователя.

Процесс атаки начинается с перехода жертв по фишинговым ссылкам, ведущим на поддельный сайт, который содержит манифест ClickOnce. Этот манифест облегчает загрузку и выполнение вредоносного кода, внедренного на легитимный веб-ресурс.

Технические детали механизма заражения

В частности, вариант v1a загружает файл с именем victim_Hardware_Analysis_Tool.application, который запускает скомпрометированный исполняемый файл с обманчивым манифестом для вызова дополнительных полезных нагрузок.

Важным элементом является _чистый_ исполняемый файл, использующий перехват AppDomainManager. Это позволяет загружать управляемые сборки, контролируемые злоумышленниками, еще при инициализации приложения.

  • OneClikNet построен по модульному принципу и учитывает специфические идентификаторы жертвы, включая хэширование и машинные параметры.
  • Вредонос использует сложные методы обхода — перемещение памяти для защиты от обнаружения и меры против отладки, чтобы останавливать работу в виртуальных и тестовых средах.

Функционал бэкдора RunnerBeacon

RunnerBeacon организует защищенную коммуникацию с командным сервером (C2) через зашифрованные каналы, используя протоколы HTTP(s) и WebSockets. Бэкдор способен выполнять разнообразные команды: управление файлами, сетевые операции, а также управление сессиями удаленного доступа.

Использование инфраструктуры AWS для промежуточной обработки вредоносного трафика делает обнаружение значительно сложнее, так как злоумышленники маскируют свои операции под обычный облачный трафик.

Эволюция и региональная активность кампании

По мере развития кампании можно наблюдать значительное усложнение ее методов:

  • Версия v1a представляет начальные стадии эксплуатации.
  • Версия v1d добавляет продвинутые проверки окружения, что помогает избегать обнаружения.

Кроме того, в ближневосточном регионе был обнаружен вариант, получивший название Бегущий маяк, который показывает высокую настойчивость и целенаправленность атак на нефтегазовый сектор.

Потенциальная связь с китайскими APT и значимость для защиты

Отмеченные тактики OneClik — такие как перехват .NET AppDomainManager, использование зашифрованных полезных нагрузок и облачной инфраструктуры — демонстрируют сходство с известной китайской тактикой APT. Тем не менее, исследователи сохраняют осторожность при прямой атрибуции кампании.

«Распознавание и понимание тактик, техник и процедур (TTP) подобных атак жизненно важно для построения эффективной защиты и обеспечит своевременное выявление угроз», — отмечают эксперты Trellix.

Компании в целевых отраслях рекомендуют повысить устойчивость систем и внедрить проактивные меры обнаружения для своевременного реагирования на подобные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: