Image by Danny Burke, from Unsplash
Hakerzy Wykorzystują Narzędzie Microsoftu do Infiltracji Infrastruktury Naftowej i Gazowej
Przeczytasz w: 2 min
Ostatnia aktualizacja: Jun 30, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Badacze odkryli dyskretną kampanię malware, która atakuje systemy energetyczne za pomocą chmur obfuskacji Microsoft ClickOnce i potężnego backdooru znanego jako RunnerBeacon
Spieszysz się? Oto krótkie fakty:
- OneClik atakuje przemysł energetyczny, naftowy i gazowy poprzez phishing i malware.
- Malware ukrywa się w Microsoft ClickOnce, aby ominąć alerty użytkowników.
- Backdoor RunnerBeacon wykorzystuje chmurę Amazon do uniknięcia wykrycia.
Zespół badawczy Trellix zidentyfikował nowy cyberatak o nazwie „OneClik”, który wykorzystuje zaawansowane metody do infiltracji systemów bezpieczeństwa firm energetycznych oraz z branży naftowej i gazowej.
Napastnicy korzystają z e-maili phishingowych, aby przeprowadzać ataki, które wykorzystują aplikację Microsoft ClickOnce do wprowadzenia użytkowników w błąd i skłonienia ich do instalacji szkodliwego oprogramowania za pomocą fałszywego narzędzia do analizy sprzętu.
Ofiara otwiera link, który uruchamia pobieranie fałszywego narzędzia, zanim ,,dfsvc.exe” uruchomi go. Legitymacyjny proces Windowsa akceptuje ukryte złośliwe oprogramowanie za pomocą zaawansowanych technik programowania.
Po znalezieniu się w systemie, złośliwe oprogramowanie instaluje tylną furtkę o nazwie „RunnerBeacon”, która dyskretnie łączy się z serwerami kontrolowanymi przez hakerów, ukrywającymi się pod postacią usług chmurowych Amazon, co sprawia, że jest niemal niemożliwe do wykrycia.
Badacze zwracają uwagę, że RunnerBeacon, napisany w języku programowania Go, jest niezwykle zaawansowany. Faktycznie, jest w stanie wykonywać polecenia, kraść pliki, przejmować ruch sieciowy, a nawet ukrywać się przed śledczymi, korzystając z narzędzi anty-debugujących i kontrol systemowych.
Badacze informują, że złośliwe oprogramowanie ewoluuje przez trzy wersje, z każdą nową poprawiającą swoją zdolność do unikania wykrycia, w tym skanowania, czy działa w bezpiecznym środowisku wirtualnym.
Infrastruktura OneClik została zaprojektowana tak, aby zlewać się z legalnym ruchem w chmurze. Usługi Amazon CloudFront i Lambda działają jako zaufane narzędzia korporacyjnej sieci, aby ukryć komunikację złośliwego oprogramowania.
Dodatkowo, strategia „życia z ziemi” umożliwia unikanie wykrycia poprzez integrację z codziennymi cyfrowymi czynnościami, co czyni wykrycie bardziej wyzwaniem.
Badacze mówią, że nie mogą potwierdzić tożsamości stojącej za OneClik, jednak cyberoperacja demonstruje długotrwałą, zaawansowaną strategię, która celuje w kluczowe systemy infrastruktury.
Poprzedni artykuł
Najnowsze artykuły 
