Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant OneClik

Logiciel malveillant OneClik

Par Mezo en Logiciels malveillants
Se traduisent par :

Une cybercampagne sophistiquée baptisée OneClik cible les secteurs de l'énergie, du pétrole et du gaz en utilisant une combinaison de méthodes de déploiement trompeuses et de logiciels malveillants personnalisés. Au cœur de cette opération se trouve l'utilisation abusive de la technologie ClickOnce de Microsoft et d'une puissante porte dérobée basée sur Golang, RunnerBeacon. Bien que certains indicateurs suggèrent un lien possible avec des acteurs malveillants chinois, l'attribution reste incertaine.

ClickOnce : un outil de déploiement à double tranchant

ClickOnce de Microsoft est conçu pour simplifier le déploiement et la mise à jour des applications Windows, permettant des installations avec une interaction minimale de l'utilisateur. Introduite dans .NET Framework 2.0, cette fonctionnalité permet aux applications de s'exécuter avec des autorisations limitées sans nécessiter de droits d'administrateur.

Malheureusement, cette commodité a également fait de ClickOnce un atout précieux pour les cybercriminels. Des applications malveillantes peuvent être déployées à l'aide d'un binaire Windows fiable (dfsvc.exe), qui gère les applications ClickOnce. Ces applications sont exécutées en tant que processus enfant de dfsvc.exe, permettant aux attaquants d'exécuter furtivement du code malveillant sans déclencher d'alarmes de sécurité ni nécessiter de privilèges élevés.

Tactiques d’infiltration : hameçonnage et tromperie

La chaîne d'attaque commence par des e-mails de phishing bien conçus qui attirent les victimes vers un faux site d'analyse matérielle. Une fois la victime sur le site, une application ClickOnce malveillante est diffusée et lancée via dfsvc.exe.

Ce chargeur injecte du code malveillant en mémoire grâce à une méthode appelée injection AppDomainManager, ce qui entraîne l'exécution d'un shellcode chiffré. La charge utile ultime est RunnerBeacon, une porte dérobée Golang sophistiquée.

RunnerBeacon : un implant puissant et polyvalent

La porte dérobée RunnerBeacon est conçue pour prendre en charge un large éventail de fonctionnalités, notamment :

  • Communication via plusieurs protocoles : HTTP(S), WebSockets, TCP brut et canaux nommés SMB
  • Exécution de commandes shell et d'opérations sur le système de fichiers
  • Énumération et terminaison des processus
  • Escalade de privilèges via le vol de jetons et l'usurpation d'identité
  • Mouvement latéral au sein d'un réseau

Il dispose également de techniques avancées d'anti-analyse et d'évasion, ainsi que de la prise en charge d'opérations centrées sur le réseau telles que l'analyse des ports, la redirection de port et le proxy SOCKS5.

Un clone de Geacon ?

RunnerBeacon présente de fortes similitudes avec les variantes de Cobalt Strike basées sur Go, telles que Geacon, Geacon Plus et Geacon Pro. Il reprend leurs structures de commandement, leurs fonctionnalités de communication interprotocole et leur flexibilité opérationnelle. Ces caractéristiques suggèrent que RunnerBeacon pourrait être une version personnalisée ou évoluée de Geacon, optimisée pour s'intégrer parfaitement aux environnements cloud.

Évolution de la menace : plusieurs variantes détectées

Les chercheurs en cybersécurité ont identifié trois variantes distinctes de OneClik rien qu'en mars 2025 :

  • v1a
  • BPI-MDM
  • v1d

Chaque version intègre des améliorations qui améliorent la furtivité et le contournement des systèmes de détection. Cependant, des traces de RunnerBeacon ont déjà été découvertes en septembre 2023 dans une entreprise du secteur pétrolier et gazier du Moyen-Orient, témoignant de la poursuite du développement et des tests.

Techniques et attribution : familières mais non confirmées

L'utilisation de l'injection d'AppDomainManager est une tactique bien documentée et a déjà été observée lors de cybercampagnes associées à des acteurs malveillants chinois et nord-coréens. Cependant, malgré les similitudes de technique et d'approche, les chercheurs n'ont pas pu attribuer de manière concluante la campagne OneClik à un groupe connu.

Pour identifier les signes de compromission, les entreprises doivent être vigilantes face aux e-mails de phishing qui redirigent les destinataires vers des sites web frauduleux d'analyse matérielle, car ceux-ci constituent souvent les premiers points d'entrée de l'attaque. L'utilisation d'applications ClickOnce lancées via le processus dfsvc.exe constitue un autre signal d'alarme, susceptible d'indiquer la présence de charges utiles malveillantes. Le déploiement suspect de techniques d'injection AppDomainManager et les connexions sortantes vers une infrastructure contrôlée par un attaquant hébergée sur Amazon Web Services (AWS) constituent également des indicateurs forts de compromission.

Pour se protéger contre de telles menaces, les entreprises devraient envisager de désactiver ou de surveiller étroitement les déploiements ClickOnce, en particulier dans les environnements à haut risque. Les équipes de sécurité doivent surveiller les processus enfants anormaux provenant de dfsvc.exe, qui pourraient signaler une activité malveillante. Le déploiement de solutions de détection et de réponse aux points de terminaison (EDR) peut aider à identifier et à atténuer les comportements d'injection AppDomain. De plus, l'analyse du trafic réseau pour détecter toute utilisation inhabituelle du protocole, comme un comportement inattendu du proxy ou des tentatives de redirection de port, peut contribuer à détecter les canaux de communication cachés.

Conclusion

La campagne OneClik souligne la manière dont les adversaires affinent continuellement leurs tactiques pour exploiter les technologies légitimes. Pour les organisations des secteurs des infrastructures critiques, maintenir une posture de vigilance et mettre en œuvre des défenses de sécurité multicouches reste essentiel pour atténuer l'impact de ces menaces avancées.

 

Tendance

Le plus regardé

Chargement...