OneClik: Neue APT-Kampagne nimmt Energiebranche ins Visier

Sicherheitsforscher des Trellix Advanced Research Center haben eine raffinierte Cyberangriffskampagne identifiziert, die gezielt kritische Infrastrukturen in der Energie-, Öl- und Gasbranche ins Visier nimmt. Die als OneClik bezeichnete Attacke nutzt Phishing-Mails sowie eine Schwachstelle in Microsofts ClickOnce-Technologie, um Schadsoftware unbemerkt einzuschleusen.

Auffällig an der Kampagne ist der Einsatz sogenannter „Living off the Land“-Taktiken: Dabei bedienen sich die Angreifer legitimer Tools und Dienste innerhalb von Cloud- und Unternehmensumgebungen, um Sicherheitsmechanismen zu umgehen und möglichst lange unentdeckt zu bleiben.

Zwar deuten einige Merkmale der Operation auf chinesische Ursprünge hin, eine eindeutige Zuordnung zu bestimmten staatlichen Akteuren bleibt jedoch unsicher. Die Entdeckung unterstreicht einmal mehr die wachsende Raffinesse moderner Cyberbedrohungen – insbesondere gegenüber kritischen Infrastrukturen.

Diese heimliche Operation umfasst drei verschiedene Varianten (v1a,BPI-MDM undv1d), die jeweils einen .NET-basierten Loader („OneClikNet“) verwenden, um eine ausgeklügelte Golanguage-Backdoor („RunnerBeacon“) zu implementieren, die mit der Infrastruktur der Angreifer kommuniziert, die sich hinter legitimen AWS-Cloud-Diensten (CloudFront, API Gateway, Lambda) verbirgt. Dies macht eine netzwerkbasierte Erkennung ohne Entschlüsselung oder tiefgehende Verhaltensanalyse nahezu unmöglich.

Unsere Analyse zeigt, wie sich diese Kampagne mit fortschrittlichen Ausweitungstaktiken und C2-Verschleierung in jeder Variante weiterentwickelt hat. Zu den wichtigsten Erkenntnissen gehören der Missbrauch von ClickOnce zur Proxy-Ausführung, die frühzeitige Injektion über .NET AppDomainManager-Hijacking und Maßnahmen zur Verhinderung der Analyse (Anti-Debugging-Schleifen und Sandbox-Erkennung).

Hintergrund zum Missbrauch von ClickOnce

ClickOnce ist eine Microsoft .NET-Bereitstellungstechnologie, mit der sich selbstaktualisierende Anwendungen von Remote-Quellen installieren und ausführen lassen. Obwohl ClickOnce für eine einfache Bereitstellung gedacht ist, können Angreifer es für die heimliche Ausführung von Code missbrauchen.

ClickOnce-Apps werden unter dem Deployment Service (dfsvc.exe) gestartet, sodass Angreifer die Ausführung bösartiger Payloads über diesen vertrauenswürdigen Host proxyen können. Da ClickOnce-Anwendungen mit Benutzerrechten ausgeführt werden (keine Benutzerkontensteuerung erforderlich), bieten sie einen attraktiven Liefermechanismus für Angreifer, die eine Rechteausweitung vermeiden möchten.

In OneClik versendeten Angreifer E-Mails mit Links zu einer gefälschten „Hardware-Analyse”-Website. Der Besuch der Website führte zu einem ClickOnce-Manifest (eine .application-Datei), das als legitimes Tool getarnt war und sich unbemerkt herunterlud und ausführte. Nach dem Start injiziert der ClickOnce-Loader bösartigen Code durch Manipulation der .NET-Konfiguration.

Konkret nutzt der Loader AppDomainManager-Hijacking (T1574.014), indem er die .exe.config-Einstellungen so manipuliert, dass beim Start von CLR eine bösartige DLL aus der Ferne geladen wird [2]. Diese Technik („AppDomainManager-Injektion“) bewirkt, dass die legitime .NET-Ausführungsdatei (z. B. ZSATray.exe, umt.exe oder ied.exe) anstelle ihrer normalen Abhängigkeiten eine vom Angreifer kontrollierte Assembly lädt. Sobald der Loader installiert ist, wird die Nutzlast unter dfsvc.exe ausgeführt und verschmilzt mit harmlosen ClickOnce-Aktivitäten.

Infektionskette und technische Analyse

Kampagnen-Infektionskette (Quelle – Trellix)

Die vollständige Infektionskette der Kampagne, die zeigt, wie sich der anfängliche Phishing-Köder über die Ausnutzung von ClickOnce bis hin zur endgültigen Bereitstellung der Nutzlast entwickelt.

Die Entwicklung der verschiedenen Varianten zeigt eine kontinuierliche Verfeinerung der Umgehungstechniken, von einfachen Fensterverstecktechniken und ETW-Patching in v1a bis hin zu ausgeklügelten Domain-Join-Überprüfungen und speicherbasierter Sandbox-Erkennung in v1d. Dies deutet auf eine kontinuierliche Entwicklungsarbeit durch erfahrene Angreifer mit fundierten Kenntnissen der Sicherheitsumgebungen in Unternehmen hin.

Attribution von Bedrohungsinformationen

Im September 2023 haben wir außerdem eine Variante des RunnerBeacon-Loaders im Öl- und Gassektor des Nahen Ostens identifiziert. Diese einzigartige Variante weist eine Codeähnlichkeit von über 99 % mit der RunnerBeacon-Komponente von OneClik auf, wobei der Übertragungsvektor für diese Infektion weiterhin unbekannt ist. Die anhaltende Präsenz deutet darauf hin, dass es sich um eine langfristige Kampagne handelt, die speziell auf den Energiesektor abzielt (Varianten v1a und v1d). Bemerkenswert ist, dass die Verwendung eines .NET-basierten Loaders, die AppDomainManager-Hijacking-Technik und die In-Memory-Entschlüsselung durch OneClik den Techniken ähneln, die bei chinesischen APT-Operationen beobachtet wurden. Die folgenden Punkte fassen die wichtigsten Überschneidungen der TTPs zusammen:

1. AppDomainManager-Hijacking: Sowohl OneClik als auch Kampagnen wie Earth Baxia, der Fall von MSC-Dateimissbrauch von AhnLab und GrimResource von TGSoft nutzen .NET AppDomainManager-Hijacking, um bösartige DLLs zur CLR-Laufzeit zu laden.
2. Bereitstellung verschlüsselter Payloads: Das Laden von Base64-kodiertem und AES-verschlüsseltem Shellcode über einen .NET-Loader wird durchgängig in ClickOne und den oben genannten chinesischen APT-Aktivitäten verwendet.
3. Beacon-ähnliche Backdoors: Alle Kampagnen setzen letztendlich In-Memory-Payloads mit Cobalt Strike-ähnlicher Kommunikation ein, wobei modulare Befehlssätze und Staging verwendet werden.
4. Missbrauch der Cloud-Infrastruktur: Die Infrastruktur von [6] umfasste Alibaba-Cloud-Server. In [7] wurden Komponenten aus AWS S3 und einem Alibaba/Aliyun-Endpunkt abgerufen. Diese Muster deuten auf eine gemeinsame Präferenz für Cloud-basiertes Staging hin.

Trotz der starken Überschneidungen bei den Techniken betonen wir eine vorsichtige Haltung bei der Zuordnung. Wir bewerten eine mögliche Verbindung zwischen OneClik und chinesischen Bedrohungsakteuren wie APT41 als wenig wahrscheinlich. Da es keine eindeutigen Hinweise gibt, verzichten wir darauf, OneClik eindeutig einem bestimmten Bedrohungsakteur oder einer bestimmten Nation zuzuordnen.

Für Verteidiger ist es jedoch von entscheidender Bedeutung, diese Überschneidungen zu verstehen. Diese TTPs bleiben in der Regel über mehrere Kampagnen hinweg bestehen, selbst wenn Bedrohungsakteure ihre Tools weiterentwickeln oder ihre Identitäten verschleiern. Durch die Erkennung und Kartierung der TTPs dieser Kampagne – wie ClickOne-Missbrauch, .NET AppDomainManager-Hijacking, cloudbasierte Staging-Umgebungen und Golang-Beacons – können Verteidiger proaktiv Systeme absichern, die Erkennungslogik verbessern und Kontrollen gegen Verhaltensmuster priorisieren, die sich in der Praxis als wirksam erwiesen haben.

Quelle: Trellix

---