Los investigadores de ciberseguridad detallan una nueva campaña que llama a OneClik, aprovechando la tecnología de implementación de software Clickonce de Microsoft y una puerta trasera de Golang a medida, llamándola una nueva campaña que compromete a las organizaciones dentro de los sectores de energía, petróleo y gas.
«La campaña muestra las características junto con los actores de amenaza que pertenecen a China, pero la atribución es cautelosa», dijeron los investigadores de Trellix Nico Paulo Yturriaga y Pham Duy Phuc en un artículo técnico.
«El método refleja un cambio más amplio hacia las tácticas de ‘vida en la tierra’, fusionando operaciones maliciosas dentro de la nube con operaciones maliciosas dentro de las herramientas empresariales para eludir los mecanismos de detección tradicionales».
Los ataques de phishing usan un cargador basado en .NET llamado OneCliknet para implementar una sofisticada infraestructura de atardante basada en Backor con un nombre en código RunnerBeacon, diseñado para comunicarse con una oscura infraestructura controlada por el atacante utilizando servicios en la nube de Amazon Web Services (AWS).
Microsoft proporciona Clickonce como una forma de instalar y actualizar aplicaciones basadas en Windows con una interacción mínima del usuario. Fue introducido en .NET Framework 2.0. Sin embargo, esta tecnología es una herramienta atractiva para los actores de amenaza que intentan ejecutar cargas útiles maliciosas sin elevar una bandera roja.
Como se describe en el marco Mitre ATT y CK, puede usar la aplicación Clickonce para ejecutar código malicioso a través del «DFSVC.EXE» de Windows Binary «, que es responsable de instalar, iniciar y actualizar aplicaciones. La aplicación se lanzará como un proceso infantil de «DFSVC.EXE».
«La aplicación ClickOnce solo recibe permisos limitados, por lo que no requiere permisos administrativos para instalar», explica Miter. «De esta manera, el enemigo podría abusar de los clics para la ejecución de código malicioso sin la necesidad de aumentar los privilegios».
Según Trellix, la cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace a un sitio web de análisis de hardware falso que actúa como un conducto para entregar aplicaciones Clickonce, y luego ejecuta el ejecutable usando dfsvc.exe.
El binario es un cargador de Clickonce que se lanza inyectando código malicioso a través de otra técnica llamada inyección de AppDomainManager, y finalmente se ejecuta SHellCode cifrado en la memoria y se carga la puerta trasera RunnerBeacon.
El implante de Golang puede comunicarse con los servidores de Comando y Control (C2) a través de tuberías llamadas HTTP, WebSocket, TCP y RAW y SMB, realizar operaciones de archivos, enumerar y terminar los procesos de ejecución, ejecutar comandos de shell, aumentar los privilegios utilizando el robo de token y sinstand y lograr los movimientos posteriores.
Además, la puerta trasera tiene capacidades anti-análisis incorporadas para evitar la detección, admitiendo operaciones de red, como escaneo de puertos, reenvío de puertos y protocolos de calcetines5 para facilitar las capacidades de proxy y enrutamiento.
«El diseño RunnerBeacon es estrechamente comparable a las balizas Cobalt Strike basadas en GO (como la familia Geacon/Geacon Plus/Geacon Pro)», dijeron los investigadores.
«Al igual que Geacon, el uso de conjuntos de comandos (capas, enumeraciones de procesos, E/S de archivos, proxy, etc.) y el protocolo cruzado C2 es muy similar. Estas similitudes estructurales y funcionales son la bifurcación o las geacons secretamente calificadas que el runnerbeacon evolucionó y las operaciones similares a la nube de la nube y las operaciones similares a la nube.
Solo en marzo de 2025, se han observado tres variantes diferentes, V1A, BPI-MDM y V1D, lo que indica que cada iteración ha mejorado gradualmente su capacidad de volar bajo el radar. Dicho esto, una variante de Runnerbeacon fue identificada en septiembre de 2023 por una compañía del Medio Oriente en el sector de petróleo y gas.
Técnicas como la inyección de AppDomainManager han sido utilizadas en el pasado por actores de amenaza relacionados con China y Corea del Norte, pero esta actividad no es formalmente atribuible a los actores o grupos de amenazas conocidos.
El desarrollo detalló la campaña instalada por Qianxin por el seguimiento de los actores de amenazas como APT-Q-14, por lo que adoptó la aplicación Clickonce para propagar malware aprovechando fallas de secuencias de comandos entre sitios de día cero (XSS) en la versión web de la plataforma de correo electrónico desconocida. La vulnerabilidad ha sido parcheada desde entonces.
La falla XSS se activa automáticamente cuando la víctima abre un correo electrónico de phishing y se descarga la aplicación ClickOne. «El cuerpo del correo electrónico de phishing proviene de Yahoo News, que coincide con la industria de las víctimas», dijo Qianxin.
La secuencia de intrusos proporciona el manual de instrucciones del buzón como un señuelo, pero un troyano malicioso se instala en secreto en un host de Windows, recopila y elimina la información del sistema en un servidor C2, y recibe una carga útil de la próxima etapa desconocida.
La compañía china de ciberseguridad dijo que el APT-Q-14 también se centra en las vulnerabilidades de día cero en el software de correo electrónico para la plataforma Android.
El APT-Q-14 se describe como originado del noreste de Asia por Qianxin y superposiciones con otros grupos llamados APT-Q-12 (también conocido como Pseudo Hunter) y APT-Q-15.
A principios de esta semana, el Centro de Inteligencia de Amenazos 360 con sede en Beijing puso fin a los antivirus del defensor de Microsoft en febrero de 2025 como parte de un ataque de phishing que proporcionó paquetes de instalación falsos de MSI, revelando que Darkhotel usó traer la tecnología vulnerable (BYOVD) de su propia propia vida para implementar malware.
El malware está diseñado para establecer la comunicación con servidores y descargas remotas, descifra y ejecuta shellcode no especificado.
«En general, las tácticas (grupos de piratería) han tendido a ser» simples «en los últimos años. A diferencia del uso previo de vulnerabilidades de peso, emplea métodos de entrega y técnicas de ataque flexibles», dijo la compañía. «Desde la perspectiva del objetivo de ataque, APT-C-06 se centra en los comerciantes relacionados con Corea del Norte, con el número de objetivos atacados durante el mismo período será grande».
Source link
