Хакеры используют Microsoft ClickOnce и AWS для скрытых атак на энергетический сектор

Международная компания Trellix выявила сложную кибератаку, получившую название OneClik. Злоумышленники задействовали легитимные технологии — инструмент развертывания приложений Microsoft ClickOnce и сервисы AWS (включая Cloudfront, API Gateway и Lambda), чтобы скрытно атаковать организации в сфере энергетики, нефти и газа.

Как сообщает BleepingComputer, злоумышленники рассылали фишинговые письма со ссылкой на поддельный сайт, маскирующийся под сервис аппаратной диагностики. При переходе пользователь загружал файл .APPLICATION — это файл манифеста ClickOnce, который запускался без запроса подтверждения прав администратора. Под видом легитимного софта скрывался вредоносный загрузчик OneClikNet на базе .NET, запускавший бекдор RunnerBeacon, написанный на Go.

RunnerBeacon использует шифрование RC4 и протокол MessagePack для передачи данных и поддерживает множество функций — от выполнения команд и проксирования трафика до операций с файлами и инъекций в процессы. Особенности кода и методов — таких как обход песочниц, AppDomainManager-инъекция, и «затухание» (обфускация и искусственные паузы) — делают этот бекдор крайне труднообнаружимым. Исследователи считают, что он может быть производной от Geacon — Go-аналога Cobalt Strike.

Для маскировки трафика атакующие использовали сервисы AWS. В разных версиях OneClik они применяли Cloudfront-домены, API Gateway и даже URL Lambda-функций, что позволяло трафику сливаться с легитимными облачными потоками. Это затрудняет защиту: чтобы заметить такую активность, необходимо либо расшифровывать весь SSL-трафик, либо блокировать доступ ко всему AWS — что нереалистично.

Хотя в отчёте не указано конкретное происхождение атакующих, Trellix указывает на схожесть с методами, ранее замеченными у китайских кибер-группировок. Однако формального обвинения не последовало — в компании отмечают, что признаки слишком разрозненные для уверенной атрибуции.

Атака OneClik демонстрирует опасную тенденцию: даже легитимные облачные сервисы и инструменты могут быть превращены в оружие при грамотной технике и подходе.