黑客滥用Microsoft ClickOnce和AWS服务进行隐秘攻击

研究人员近日发现名为 OneClik的复杂恶意活动一直在利用微软的 ClickOnce 软件部署工具和自定义 Golang 后门来危害能源、石油和天然气行业的组织。黑客依靠合法的 AWS 云服务AWS、Cloudfront、API Gateway、Lambda来隐藏命令和控制基础设施。首先以一封网络钓鱼电子邮件开始，里面包含着伪装的恶意链接，指向外部站点，执行后，加载程序通过劫持 .NET 应用程序加载程序集的方式来运行恶意负载。目前研究仍在继续。