Il settore energetico è recentemente stato preso di mira da una nuova campagna di attacchi informatici denominata OneClik. Questo attacco sfrutta la tecnologia Microsoft ClickOnce per la distribuzione di software e utilizza sofisticati backdoor sviluppati in Golang, mirando principalmente a organizzazioni attive nei settori energia, petrolio e gas. Secondo gli esperti di sicurezza, le tecniche impiegate mostrano somiglianze con gruppi di minaccia collegati alla Cina, anche se non si esclude il coinvolgimento di altri attori.

Caratteristiche della campagna OneClik

La campagna OneClik si distingue per l’uso di tattiche living-off-the-land, ovvero strategie che sfruttano strumenti e servizi legittimi all’interno delle infrastrutture cloud ed enterprise per evitare i tradizionali sistemi di rilevamento. Gli attacchi iniziano con campagne di phishing che rimandano a siti web truffa, spingendo le vittime a scaricare applicazioni ClickOnce apparentemente legittime. Una volta installata, la componente principale, un loader .NET chiamato OneClikNet, attiva un backdoor Go denominato RunnerBeacon.

Meccanismi di infezione e persistenza

ClickOnce, pensato da Microsoft per facilitare l’installazione di applicazioni Windows senza privilegi amministrativi, viene qui sfruttato per eseguire codice dannoso attraverso processi di sistema affidabili come dfsvc.exe. Questo consente di installare e lanciare il malware senza destare sospetti o richiedere autorizzazioni elevate. Il codice dannoso viene iniettato in memoria tramite tecniche come l’AppDomainManager injection, caricando shellcode criptati che installano il backdoor.

Comunicazione e funzionalità del malware

Il malware Go comunica con un server di comando e controllo (C2) tramite diversi protocolli, inclusi HTTP, WebSocket, TCP e named pipes SMB, aumentando la resilienza e la furtività. RunnerBeacon permette agli attaccanti di eseguire comandi da remoto, gestire file, effettuare escalation di privilegi, muoversi lateralmente nella rete bersaglio e implementare tecniche di evasione dei controlli di sicurezza. Inoltre, il backdoor integra funzionalità di scansione porte, proxy e supporto SOCKS5 per il routing del traffico, agevolando ulteriormente la permanenza e la propagazione nella rete.

Implicazioni e contesto

Sebbene siano state individuate diverse varianti di OneClik, tutte mostrano una progressiva evoluzione delle capacità di elusione e attacco. L’attività di queste campagne non è stata ancora formalmente attribuita a un gruppo specifico, ma si inserisce in un contesto più ampio di offensive che sfruttano vulnerabilità zero-day e strumenti cloud-based per colpire infrastrutture critiche. La combinazione tra phishing, ClickOnce e backdoor Go rende OneClik una minaccia particolarmente insidiosa per il settore energetico e sottolinea la necessità di rafforzare le difese contro tecniche di attacco sempre più sofisticate.