Image by Danny Burke, from Unsplash
Хакеры используют инструмент Microsoft для проникновения в инфраструктуру нефтегазовой отрасли
Время для прочтения: 2 мин.
Последние обновления: Jun 30, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Исследователи обнаружили скрытую кампанию по распространению вредоносного программного обеспечения, которая атакует энергетические системы через обфускацию облака Microsoft ClickOnce и мощный «задний вход», известный как RunnerBeacon
Спешите? Вот краткие факты:
- OneClik направляет свои атаки на энергетическую, нефтяную и газовую промышленность с помощью фишинга и вредоносного ПО.
- Вредоносное ПО скрывается в Microsoft ClickOnce, чтобы обойти уведомления пользователей.
- Задний проход RunnerBeacon использует облачные технологии Amazon для обхода обнаружения.
Исследовательская команда Trellix обнаружила новую кибератаку под названием «OneClik», которая использует сложные методы для проникновения в системы безопасности компаний в сфере энергетики, нефти и газа.
Атакующие используют фишинговые электронные письма для проведения атак, в которых используется приложение Microsoft ClickOnce, чтобы обмануть пользователей и заставить их установить вредоносное программное обеспечение с помощью поддельного инструмента анализа оборудования.
Жертва открывает ссылку, которая запускает загрузку поддельного инструмента, прежде чем «dfsvc.exe» запускает его. Легитимный процесс Windows принимает скрытое вредоносное ПО с помощью продвинутых программных техник.
Однажды внутри системы, вредоносное ПО устанавливает «заднюю дверь», названную «RunnerBeacon», которая тихо подключается к серверам, контролируемым хакерами, маскируясь под облачные сервисы Amazon, что делает её практически невозможной для обнаружения.
Исследователи отмечают, что RunnerBeacon, написанный на языке программирования Go, обладает высоким уровнем сложности. Действительно, он может выполнять команды, красть файлы, захватывать сетевой трафик и даже скрываться от следователей, используя инструменты антиотладки и системные проверки.
Исследователи сообщают, что вредоносное ПО эволюционирует через три версии, каждая новая улучшает его способность уклоняться от обнаружения, включая сканирование того, работает ли оно в безопасной виртуальной среде.
Инфраструктура OneClik разработана так, чтобы смешиваться с легитимным облачным трафиком. Услуги Amazon CloudFront и Lambda работают как доверенные корпоративные сетевые инструменты для скрытия коммуникаций вредоносного ПО.
Кроме того, подход «жить за счет земли» обеспечивает возможности уклонения, интегрируясь в повседневные цифровые действия, что усложняет обнаружение.
Исследователи говорят, что они не могут подтвердить идентичность OneClik, однако, данная кибероперация демонстрирует продолжительную продуманную стратегию, нацеленную на системы критической инфраструктуры.
Предыдущая история
Последние статьи 
