كشف باحثون في مجال الأمن السيبراني عن حملة خبيثة جديدة تُعرف باسم OneClik، تستغل تقنية ClickOnce الخاصة بتوزيع البرامج من مايكروسوفت، إلى جانب أبواب خلفية مصممة بلغة Golang، لاختراق منظمات في قطاعات الطاقة، والنفط، والغاز.
وقال الباحثان نيكو باولو يتورياجا وفام دوي فوك من شركة Trellix إن الحملة “تحمل سمات تتماشى مع جهات تهديد مرتبطة بالصين، وإن كان الإسناد لا يزال بحذر”، مشيرين إلى أن “الأساليب المستخدمة تعكس تحوّلاً أوسع نحو تكتيكات العيش على النظام (Living-off-the-land) التي تدمج الأنشطة الخبيثة في بيئات السحابة وأدوات المؤسسات لتفادي آليات الكشف التقليدية”.
آلية الهجوم:
تبدأ الحملة بهجوم تصيّد إلكتروني (Phishing) يحتوي على رابط لموقع مزيف لتحليل الأجهزة، يقوم بدوره بتوزيع تطبيق ClickOnce، الذي يُشغّل ملفًا تنفيذيًا من خلال العملية الموثوقة في ويندوز dfsvc.exe.
هذا الملف التنفيذي يُحمِّل Loader يسمى OneClikNet المبني على منصة .NET، والذي يحقن تعليمات برمجية ضارة عبر تقنية تُعرف بـ AppDomainManager injection، مما يؤدي إلى تشغيل Shellcode مشفر في الذاكرة، وتحميل باب خلفي متطور يُدعى RunnerBeacon.
وظائف RunnerBeacon:
الباب الخلفي المكتوب بلغة Golang يتمتع بإمكانات متقدمة، منها:
-
الاتصال بخوادم التحكم والسيطرة (C2) عبر HTTP(s)، WebSocket، TCP خام، وSMB
-
تنفيذ أوامر عبر الـ Shell
-
التسلل للحسابات والامتيازات من خلال سرقة الرموز (token theft)
-
الحركة الجانبية داخل الشبكة
-
تشغيل وإيقاف العمليات
-
إدارة الملفات
-
تنفيذ عمليات المسح الشبكي وتوجيه المنافذ (port forwarding)
-
دعم بروتوكول SOCKS5 لتسهيل الخصوصية والاتصالات الوكيلة
وأشار الباحثون إلى أن تصميم RunnerBeacon يُشابه عائلات معروفة من beacons المبنية على Golang مثل Geacon/Geacon Plus/Geacon Pro، ما يرجّح أنه نسخة مشتقة ومعدلة خصوصًا لعمليات أكثر سرية وصديقة للبيئة السحابية.
تطور متسارع:
رُصدت ثلاث نسخ مختلفة من OneClik فقط في مارس 2025 (v1a، BPI-MDM، v1d)، كل واحدة أكثر تطورًا في التهرب من الكشف.
ومن اللافت أن إحدى نسخ RunnerBeacon تم اكتشافها في سبتمبر 2023 داخل شركة في الشرق الأوسط تعمل بقطاع النفط والغاز.
علاقة مشبوهة مع جهات تهديد صينية:
رغم استخدام تقنيات مشابهة لتلك التي استخدمتها مجموعات تهديد مرتبطة بالصين وكوريا الشمالية سابقًا، لم يتم حتى الآن إسناد الحملة رسميًا لأي جهة تهديد محددة.
لكن بالتزامن، كشفت شركة QiAnXin الصينية عن حملة أخرى منسوبة لمجموعة تهديد تُعرف باسم APT-Q-14 استخدمت أيضًا تطبيقات ClickOnce لنشر البرمجيات الخبيثة عبر ثغرة XSS يوم-صفر في إصدار ويب من منصة بريد إلكتروني غير معروفة.
تفاصيل الحملة:
-
يبدأ الهجوم برسالة تصيّد بريدية مموّهة بمحتوى من Yahoo News.
-
عند فتح الرسالة، تُفعّل الثغرة تلقائيًا ويتم تحميل تطبيق ClickOnce.
-
يُعرض على الضحية ملف إرشادات كواجهة وهمية، بينما يتم تثبيت تروجان خبيث على النظام.
-
البرمجية تقوم بجمع معلومات النظام وإرسالها إلى خادم C2، مع إمكانية تحميل شفرات خبيثة إضافية.
الخلفية الأوسع:
قالت QiAnXin إن مجموعة APT-Q-14 تنشط في شمال شرق آسيا، وتتداخل مع مجموعات مثل APT-Q-12 (المعروفة باسم Pseudo Hunter) وAPT-Q-15، والتي يُعتقد أنها فروع ضمن مجموعة DarkHotel المرتبطة بكوريا الجنوبية.
وكان مركز 360 Threat Intelligence في بكين قد كشف مؤخرًا عن استخدام DarkHotel لتقنية BYOVD (اجلب برنامج تشغيل ضعيف بنفسك) لإيقاف Microsoft Defender وتثبيت برمجيات خبيثة عبر حزمة MSI مزيفة في فبراير 2025.
