Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS

14:35, 30/06/2025

Một chiến dịch độc hại tinh vi với tên gọi “OneClik” đã lợi dụng công cụ triển khai phần mềm ClickOnce của Microsoft và backdoor Golang tùy chỉnh, nhằm xâm phạm các tổ chức trong lĩnh vực năng lượng, dầu mỏ và khí đốt.

ClickOnce là công nghệ triển khai của Microsoft cho phép các nhà phát triển tạo ra các ứng dụng chạy trên Windows có khả năng tự cập nhật, giúp giảm thiểu tương tác của người dùng.

Tin tặc dựa vào các dịch vụ đám mây AWS hợp pháp (AWS, Cloudfront, API Gateway, Lambda) để giữ bí mật máy chủ điều khiển và ra lệnh (C2). Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Trellix (Mỹ) đã phân tích ba biến thể của chiến dịch (v1a, BPI-MDM và v1d), tất cả đều triển khai một backdoor Golang tinh vi có tên là RunnerBeacon, thông qua trình tải .NET OneClik.

Theo Trellix, mỗi phiên bản của chiến dịch OneClik đều có những kỹ thuật tấn công tiên tiến, che giấu máy chủ C2, chống phân tích mạnh mẽ và né tránh sandbox. Trong khi các chỉ số hoạt động chỉ ra các tác nhân đe dọa có liên quan đến Trung Quốc, các nhà nghiên cứu vẫn thận trọng khi đưa ra kết luận.

Lạm dụng ClickOnce

Các cuộc tấn công OneClik kết hợp các công cụ hợp pháp với phần mềm độc hại tùy chỉnh cùng các công cụ đám mây, cho phép kẻ tấn công ẩn mình trước các giải pháp bảo mật. Chiến dịch bắt đầu bằng một email lừa đảo có liên kết đến một trang web phân tích phần cứng giả mạo trong hệ sinh thái Azure, trong đó có chứa tệp APPLICATION (tệp manifest ClickOnce) được ngụy trang thành một công cụ hợp pháp.

Các nhà nghiên cứu của Trellix cho biết kẻ tấn công đã sử dụng ứng dụng ClickOnce làm cơ chế phân phối phần mềm độc hại mà không kích hoạt cơ chế kiểm soát tài khoản người dùng. “Các ứng dụng ClickOnce khởi chạy theo dịch vụ Deployment Service (dfsvc[.]exe), cho phép kẻ tấn công ủy quyền thực thi các phần mềm độc hại thông qua máy chủ đáng tin cậy này”, Trellix giải thích.

Chuỗi lây nhiễm trong các cuộc tấn công OneClik

Sau khi thực thi, trình tải ClickOnce sẽ chạy các đoạn mã độc bằng cách chiếm quyền điều khiển ứng dụng .NET load các assembly, một kỹ thuật được gọi là AppDomainManager injection.

Trong trường hợp của OneClik, điều này cho phép kẻ tấn công sử dụng tệp thực thi .NET hợp lệ, chẳng hạn như ZSATray[.]exe, umt[.]exe hoặc ied[.]exe. Để che giấu hoạt động trong thời gian dài hơn, kẻ tấn công đã lạm dụng các dịch vụ AWS hợp pháp, khiến cho việc giao tiếp với máy chủ C2 trông giống như giao dịch đám mây thông thường, vì nó được truyền thông với lưu lượng CDN vô hại.

Trong biến thể OneClik v1a, beacon đã liên hệ với tên miền phân phối Cloudfront và điểm cuối API Gateway. Trong v1d, beacon sử dụng URL của AWS Lambda làm địa chỉ callback HTTP.

Backdoor RunnerBeacon

Phân tích backdoor RunnerBeacon dựa trên Golang cho thấy giao thức C2 của nó mã hóa toàn bộ lưu lượng bằng thuật toán RC4 và dữ liệu được tuần tự hóa (serialized data) bằng MessagePack. Một số phương pháp mà backdoor sử dụng để cản trở việc phân tích, các nhà nghiên cứu đã tìm thấy một chuỗi “obfuscate_and_sleep” và “jitter” ngẫu nhiên trong beacon.

Các nhà nghiên cứu cho biết, backdoor này có khả năng thực hiện lệnh shell (CreateProcessW); chạy các hoạt động tệp tin (liệt kê thư mục, tải lên, tải xuống); thực hiện các nhiệm vụ liên quan đến mạng (quét cổng); thiết lập SOCKS5t tunnel để chuyển tiếp lưu lượng dữ liệu.

Bên cạnh đó, RunnerBeacon có thể hoạt động nâng cao hơn như chèn tiến trình mới và thiết lập giai đoạn để leo thang đặc quyền. Trellix cho biết thiết kế của RunnerBeacon tương tự như các beacon Cobalt Strike dựa trên Go đã biết trước đó.

Báo cáo từ Trellix bao gồm danh sách toàn diện các chỉ số xâm phạm (IoC) của tất cả các thành phần trong chiến dịch OneClik, từ các mồi nhử lừa đảo và trình tải phần mềm độc hại đến các tệp cấu hình, tệp nhị phân backdoor, tệp thực thi hợp pháp, tên miền và tham số cấu hình. Quý độc giả có thể theo dõi tại đây.

Từ khóa: chiến dịch độc hại OneClikMicrosoft ClickOnceAWSan ninh mạngsandbox

Bài khác

Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS
02:35 pm, 30/06/2025
Cảnh giác khi nhận được các mã QR qua Facebook, Zalo Cảnh giác khi nhận được các mã QR qua Facebook, Zalo
08:42 am, 30/06/2025
Nam sinh viên mất hơn 7 tỷ đồng sau khi nhận cuộc gọi giả mạo công an Nam sinh viên mất hơn 7 tỷ đồng sau khi nhận cuộc gọi giả mạo công an
03:59 pm, 27/06/2025
Tin tặc tấn công chuỗi cung ứng CoinMarketCap để rút ví tiền điện tử Tin tặc tấn công chuỗi cung ứng CoinMarketCap để rút ví tiền điện tử
03:35 pm, 26/06/2025
Cảnh giác với các thông tin sai lệch gây hoang mang về việc nộp thuế Cảnh giác với các thông tin sai lệch gây hoang mang về việc nộp thuế
02:04 pm, 26/06/2025
Chặn gian lận thi cử bằng thiết bị công nghệ cao Chặn gian lận thi cử bằng thiết bị công nghệ cao
11:05 am, 26/06/2025
Cảnh giác với các email lừa đảo có thể hack Facebook người dùng Cảnh giác với các email lừa đảo có thể hack Facebook người dùng
09:27 am, 25/06/2025
Cảnh giác khi được yêu cầu cập nhật VssID Cảnh giác khi được yêu cầu cập nhật VssID
08:38 am, 24/06/2025
Cảnh báo thủ đoạn lừa đảo gọi điện 'thông báo phí phát sinh thẻ tín dụng' Cảnh báo thủ đoạn lừa đảo gọi điện 'thông báo phí phát sinh thẻ tín dụng'
04:03 pm, 23/06/2025
16 tỷ mật khẩu bị đánh cắp: Người dùng có thực sự gặp nguy hiểm? 16 tỷ mật khẩu bị đánh cắp: Người dùng có thực sự gặp nguy hiểm?
12:20 pm, 23/06/2025

Bài mới nhất

OpenAI được cho là đang 'hiệu chỉnh' mức bồi thường để ứng phó với việc tuyển dụng Meta OpenAI được cho là đang 'hiệu chỉnh' mức bồi thường để ứng phó với việc tuyển dụng Meta
Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS
914 học sinh được vinh danh tại lễ trao giải hai kỳ thi Toán quốc tế IKMC 2025 và IMAS 2024-2025 914 học sinh được vinh danh tại lễ trao giải hai kỳ thi Toán quốc tế IKMC 2025 và IMAS 2024-2025
Cha mẹ 4.0 thấu hiểu con hơn nhờ AI Cha mẹ 4.0 thấu hiểu con hơn nhờ AI
Cuộc thi “Sinh viên với Công ước Hà Nội” về phòng chống tội phạm mạng đã tìm được Cuộc thi “Sinh viên với Công ước Hà Nội” về phòng chống tội phạm mạng đã tìm được "chủ nhân"
Hải quan Việt Nam tạm dừng tiếp nhận tờ khai từ 22h ngày 30/6 đến 5h ngày 1/7 Hải quan Việt Nam tạm dừng tiếp nhận tờ khai từ 22h ngày 30/6 đến 5h ngày 1/7
Thay đổi hành vi của người tiêu dùng để kiến tạo một kỷ nguyên xanh Thay đổi hành vi của người tiêu dùng để kiến tạo một kỷ nguyên xanh
Chủ tịch nước Lương Cường: Phải vận hành thông suốt, đồng bộ, hiệu quả bộ máy hành chính mới Chủ tịch nước Lương Cường: Phải vận hành thông suốt, đồng bộ, hiệu quả bộ máy hành chính mới
Thủ tướng: Hải Phòng (mới) gương mẫu, đi đầu xây dựng thành phố XHCN trong kỷ nguyên mới Thủ tướng: Hải Phòng (mới) gương mẫu, đi đầu xây dựng thành phố XHCN trong kỷ nguyên mới
Bộ Chính trị chỉ định Ban Thường vụ Đảng bộ TPHCM (mới), đồng chí Nguyễn Văn Nên giữ chức Bí thư Thành ủy TPHCM Bộ Chính trị chỉ định Ban Thường vụ Đảng bộ TPHCM (mới), đồng chí Nguyễn Văn Nên giữ chức Bí thư Thành ủy TPHCM
Ứng dụng AI trong các cuộc phỏng vấn tuyển dụng Ứng dụng AI trong các cuộc phỏng vấn tuyển dụng
Sắp xếp công chức cấp xã (mới): Không cần làm lại thủ tục tiếp nhận nếu đủ điều kiện Sắp xếp công chức cấp xã (mới): Không cần làm lại thủ tục tiếp nhận nếu đủ điều kiện
Toàn văn phát biểu của Tổng Bí thư Tô Lâm với nhân dân TPHCM và thông điệp gửi nhân dân cả nước Toàn văn phát biểu của Tổng Bí thư Tô Lâm với nhân dân TPHCM và thông điệp gửi nhân dân cả nước
Danh sách các Bí thư Tỉnh ủy, Thành ủy các tỉnh, thành phố mới sau sáp nhập Danh sách các Bí thư Tỉnh ủy, Thành ủy các tỉnh, thành phố mới sau sáp nhập
Tổng Bí thư dự lễ Công bố các Nghị quyết về sáp nhập đơn vị hành chính tại Thành phố Hồ Chí Minh Tổng Bí thư dự lễ Công bố các Nghị quyết về sáp nhập đơn vị hành chính tại Thành phố Hồ Chí Minh