OneClik: Yeni Bir Siber Tehdit Kampanyası
Son zamanlarda siber güvenlik alanında dikkat çeken bir gelişme, OneClik adı verilen yeni bir kampanyanın ortaya çıkmasıdır. Bu kampanya, Microsoft’un ClickOnce yazılım dağıtım teknolojisini ve özel olarak tasarlanmış Golang tabanlı arka kapıları kullanarak enerji, petrol ve gaz sektörlerindeki organizasyonları hedef almaktadır. Trellix araştırmacıları, bu kampanyanın Çin ile bağlantılı tehdit aktörleriyle benzerlikler taşıdığını ancak atıfların temkinli olduğunu vurgulamaktadır.
ClickOnce Teknolojisi ve Kötü Amaçlı Kullanımı
Microsoft’un ClickOnce teknolojisi, kullanıcı etkileşimini minimumda tutarak Windows tabanlı uygulamaların yüklenmesi ve güncellenmesi için tasarlanmıştır. Ancak, kötü niyetli aktörler için bu teknoloji, saldırılarını gerçekleştirmek adına cazip bir yöntem haline gelmiştir. MITRE ATT&CK çerçevesine göre, ClickOnce uygulamaları, güvenilir bir Windows ikili dosyası olan dfsvc.exe aracılığıyla kötü amaçlı kod çalıştırma imkanı sunmaktadır. Tehdit oyuncuları, ClickOnce kullanarak kötü amaçlı kodu çalıştırmak için yetki yükseltmesine ihtiyaç duymamaktadır.
Trellix, bu kötü niyetli kampanyanın başlangıç noktasının oltalama e-postaları olduğunu belirtmektedir. Bu e-postalar, sahte bir donanım analiz web sitesine yönlendiren bir bağlantı içermekte ve bu site üzerinden ClickOnce uygulamasını dağıtmaktadır. Böylece dfsvc.exe kullanılarak kötü amaçlı kod çalıştırılmaktadır.
Golang Tabanlı Arka Kapı: RunnerBeacon
Kampanya kapsamında kullanılan Golang tabanlı arka kapı, RunnerBeacon olarak adlandırılmaktadır. Bu arka kapı, HTTP(s), WebSockets, ham TCP ve SMB adı verilen boru hatları üzerinden bir komut ve kontrol (C2) sunucusuyla iletişim kurabilmektedir. RunnerBeacon, dosya işlemleri gerçekleştirmek, çalışan süreçleri listelemek ve sonlandırmak, komut çalıştırmak, yetki yükseltmek gibi birçok işlevi yerine getirme yeteneğine sahiptir.
RunnerBeacon, ayrıca ağ işlemleri gerçekleştirebilmek için port taraması, port yönlendirme ve SOCKS5 protokolü desteği sunmaktadır. Araştırmacılar, bu arka kapının tasarımında Cobalt Strike beacon’ları ile benzerlikler olduğunu ifade etmektedir. Bu benzerlikler, RunnerBeacon’ın Geacon gibi bazı bilinen Go tabanlı arka kapıların evrimsel bir varyantı olabileceğini düşündürmektedir.
OneClik Varyantları ve Gelişmeler
Mart 2025 itibarıyla üç farklı OneClik varyantı gözlemlenmiştir: v1a, BPI-MDM ve v1d. Her varyant, görünmez olma yeteneğini artıracak şekilde geliştirilmiştir. Eylül 2023’te, Orta Doğu’daki bir petrol ve gaz şirketinde RunnerBeacon’ın bir varyantına rastlanmıştır. Bu tür teknikler, geçmiş dönemde Çin ve Kuzey Kore ile bağlantılı tehdit aktörleri tarafından kullanılmakta olup, bu faaliyetlerin bilinen bir grup ya da aktöre ait olduğu resmi olarak doğrulanmamıştır.
Araştırmalar ve Diğer Kampanyalar
QiAnXin, APT-Q-14 olarak adlandırdığı bir tehdit aktörünün ClickOnce uygulamalarını kullanarak kötü amaçlı yazılım yaydığını detaylandırmıştır. Bu kampanya, bir e-posta platformunun web versiyonundaki bir sıfır gün açıklarını hedef alarak yürütülmüştür. Söz konusu XSS açığı, kurbanın bir oltalama e-postasını açmasıyla otomatik olarak tetiklenmekte ve ClickOnce uygulamasının indirilmesine neden olmaktadır.
APT-Q-14, başka bir komplike tehdit ile bağlantılı olarak, Android platformundaki e-posta yazılımlarındaki sıfır gün açıklarına da odaklanmaktadır. Bu grup, Kuzeydoğu Asya’dan kaynaklandığı belirtilmekte ve diğer gruplarla benzerlikleri mevcuttur.
Sonuç ve Gelecek Beklentileri
Siber güvenlik alanında yaşanan bu gelişmeler, Organizationlar için risk oluşturan yeni tehditler ve tekniklerin ortaya çıktığını göstermektedir. Siber tehditler, sürekli evrim geçirmekte ve yeni yöntemler geliştirmektedir. Kötü niyetli aktörler, geleneksel algılama mekanizmalarını aşmak için bulut ve kurumsal araçları harmanlayarak daha karmaşık ve düşük profil taşıyan saldırılar düzenlemektedir. Bu nedenle, organizasyonların siber güvenlik önlemlerini güçlendirerek bu tür tehditlere karşı hazırlıklı olmaları büyük önem taşımaktadır.
