OneClikマルウェア

OneClikと呼ばれる高度なサイバー攻撃キャンペーンは、欺瞞的な展開手法とカスタムビルドのマルウェアを巧みに組み合わせ、エネルギー、石油、ガス業界を標的としています。この攻撃の中心となるのは、MicrosoftのClickOnceテクノロジーと、強力なGo言語ベースのバックドア「RunnerBeacon」の悪用です。中国の脅威アクターとの関連性を示唆する兆候はあるものの、その正体は依然として不明確です。

ClickOnce: 両刃の剣の展開ツール

MicrosoftのClickOnceは、Windowsアプリケーションの展開と更新プロセスを簡素化し、ユーザーによる操作を最小限に抑えてインストールを可能にするように設計されています。.NET Framework 2.0で導入されたこの機能により、管理者権限を必要とせずに、制限された権限でアプリケーションを実行できるようになります。

残念ながら、この利便性はClickOnceをサイバー犯罪者にとって貴重な資産にもしています。ClickOnceアプリを扱う信頼できるWindowsバイナリ（dfsvc.exe）を利用して、悪意のあるアプリケーションを展開することが可能です。これらのアプリはdfsvc.exeの子プロセスとして実行されるため、攻撃者はセキュリティ警告を出したり、昇格権限を必要とせずに、悪意のあるコードを密かに実行することができます。

侵入戦術：フィッシングと欺瞞

攻撃チェーンは、巧妙に細工されたフィッシングメールから始まり、被害者を偽のハードウェア分析サイトに誘導します。被害者がサイトにアクセスすると、悪意のあるClickOnceアプリケーションが配信され、dfsvc.exeを使用して起動されます。

このローダーは、AppDomainManagerインジェクションと呼ばれる手法を用いて悪意のあるコードをメモリに注入し、暗号化されたシェルコードを実行します。最終的なペイロードは、洗練されたGo言語バックドアであるRunnerBeaconです。

RunnerBeacon: 強力で多用途なインプラント

RunnerBeacon バックドアは、次のような幅広い機能をサポートするように構築されています。

• 複数のプロトコルを介した通信: HTTP(S)、WebSocket、生のTCP、SMB名前付きパイプ
• シェルコマンドとファイルシステム操作の実行
• プロセスの列挙と終了
• トークンの盗難やなりすましによる権限昇格
• ネットワーク内の横方向の移動

また、高度な分析防止および回避技術を備えており、ポート スキャン、ポート転送、SOCKS5 プロキシなどのネットワーク中心の操作もサポートします。

ジーコンのクローン？

RunnerBeaconは、Geacon、Geacon Plus、Geacon ProといったGoベースのCobalt Strikeの亜種と強い類似性を示しています。これらのコマンド構造、クロスプロトコル通信機能、そして運用の柔軟性をそのまま反映しています。これらの特徴から、RunnerBeaconはGeaconのカスタマイズ版、あるいは進化版であり、クラウド環境にシームレスに溶け込むように改良されたものであると考えられます。

進化する脅威：複数の亜種を検出

サイバーセキュリティ研究者は、2025 年 3 月だけで 3 つの異なる OneClik 亜種を特定しました。

• v1a
• BPI-MDM
• v1d

各バージョンには、ステルス性とバイパス検知システムを強化する改良が含まれています。しかし、ランナービーコンの痕跡は2023年9月に中東の石油・ガス部門の企業で既に発見されており、開発とテストが継続されていることを示しています。

手法と帰属：よく知られているが未確認

AppDomainManagerインジェクションの使用は十分に文書化された戦術であり、中国と北朝鮮の脅威アクターによるサイバーキャンペーンで過去にも確認されています。しかし、手法とアプローチの類似性にもかかわらず、研究者はOneClikキャンペーンを既知のグループに帰属させる決定的な根拠を見つけることができていません。

侵害の兆候を特定する上で、組織は、受信者を不正なハードウェア分析ウェブサイトに誘導するフィッシングメールに注意する必要があります。これらのウェブサイトは、攻撃の最初の入り口となることが多いためです。もう一つの危険信号は、dfsvc.exeプロセスを介して起動されるClickOnceアプリケーションの使用です。これは、悪意のあるペイロードの存在を示唆している可能性があります。AppDomainManagerインジェクション技術の不審な展開や、Amazon Web Services（AWS）でホストされている攻撃者が管理するインフラストラクチャへのアウトバウンド接続も、侵害の強力な指標となります。

このような脅威から身を守るために、企業はClickOnceの展開を無効にするか、特に高リスク環境において厳重に監視することを検討する必要があります。セキュリティチームは、dfsvc.exeから発生する異常な子プロセスに注意する必要があります。これらのプロセスは、悪意のあるアクティビティの兆候となる可能性があります。エンドポイント検出および対応（EDR）ソリューションを導入することで、AppDomainインジェクションの挙動を特定し、軽減することができます。さらに、ネットワークトラフィックを検査し、予期せぬプロキシ動作やポート転送の試行など、異常なプロトコルの使用の有無を確認することで、隠れた通信チャネルの検出に役立ちます。

結論

OneClikキャンペーンは、攻撃者が正規のテクノロジーを悪用する戦術を絶えず改良していることを浮き彫りにしています。重要インフラ分野の組織にとって、このような高度な脅威の影響を軽減するには、常に警戒態勢を維持し、多層的なセキュリティ防御を実装することが不可欠です。