Last week Stephan Borosh gave us a live demo on a ClickOnce-based Command-and-Control (C2) framework. ClickOnce Commander is a powerful new tool for professional red team operators and offensive security researchers. Watch Steve demonstrates how Microsoft ClickOnce deployments can be analyzed, abused, and leveraged as a stealthy attack vector 👉 youtube.com/watch?v=acijx_Tb…

複数名募集のフルリモート案件が動き出しました。 こちら、マッチする要員さまいらっしゃいましたら、ご連絡いただけると幸いです🙇‍♂️ ========================================== 【案件】ローカルアプリ基盤開発 　・バックエンドエンジニア（1～2名） 　・Winアプリエンジニア（1～2名） ▼基本情報 　・案件概要： 　　薬局にあるレセコンから出力された処方データ（NSIPS）の取得手段を統一するため、専用アプリを開発する案件。 　　.NET Frameworkを採用したWindowsアプリ開発、クラウド側API開発、各プロダクトへのデータ連携を行う。 　　2026年5月にMVP版リリース、2026年9月に本番向けリリースを予定。 　・担当工程：設計 / 実装 / 運用 　・稼働：フルタイム 　・開始時期：即日 　・勤務地：フルリモート 　・最寄り（出社時）：新橋 　・単価：～75万 　・面談回数：2回 ▼開発環境 　言語：C#、TypeScript、Python 　フレームワーク：.NET Framework、.NET 　インフラ： AWS（DynamoDB, Aurora, Cognito, API Gateway, Lambda, SQS） 　IaC：Terraform、Terragrunt 　AI コーディングエージェント： Claude, Cursor, Devin 　モニタリング : Datadog / PagerDuty / Sentry 　CI/CD : GitHub Actions 　コミュニケーション : Google Workspace, Slack 　ドキュメント : Confluence 　タスク管理 : JIRA ＜バックエンドエンジニア（Typescript/Node.js）＞ ▼必須スキル 　・パフォーマンスと保守性の高い設計・実装能力 　・AWS / GCP / Azureなどのクラウドサービスでの開発経験 　・RDBMS / NoSQLの知識・設計の経験 　・Webアプリケーションでのセキュリティ知識・運用・経験 　・CI/CD、ログ収集、監視などのDevOpsの経験 　・Infrastructure as Codeの知識・経験 　・プロダクトへの理解を深めるための自発的な行動、およびそれに基づいた仕様策定の経験 ▼尚可スキル 　・リリース済みのウェブサービスの運用経験 　・パフォーマンスチューニング経験 　・キャパシティ調整・負荷テスト 　・アーキテクチャ設計、技術選定、技術的負債への対応方針策定を主導した経験 ＜Winアプリエンジニア（C＃/.NET）＞ ▼必須スキル 　・C# / .NETを用いた中〜大規模Windowsアプリケーションの設計・実装経験 　・WPF / Windows Forms / WinUI など、業務系GUIフレームワークでの実務経験 　・外部デバイスや他社システムとの連携を伴うアプリケーション設計の経験（API連携、シリアル通信、SDK組み込みなど形式は問わず） 　・アーキテクチャ設計、技術選定、技術的負債への対応方針策定を主導した経験 　・DB（RDB / NoSQL）のスキーマ設計、クエリチューニングの経験 ▼尚可スキル 　・ビジネス要求と技術的制約のトレードオフを踏まえ、現実的な解決策を導き出しプロジェクトを推進した経験 　・インストーラ、配信、自動更新基盤の設計・運用経験（ClickOnce、MSIX、独自配信基盤など） 　・全国規模で稼働するクライアントアプリケーションにおける、可観測性（ログ、メトリクス、クラッシュレポート）設計の経験 　・mTLS、OAuth / OIDC など認証・認可プロトコルを用いたクライアント実装経験 　・生成AIを活用した開発プロセス改善、テスト自動化、要件分析等の経験 　・AWS（Lambda、API Gateway、DynamoDB等）を活用したシステム連携の設計・運用経験、およびIaC（Terraform / Terragrunt）の経験 　・医療・ヘルスケア領域、もしくは規制産業向けシステムの開発経験 　・レガシーシステム / 業界標準プロト #SES #案件紹介 #フルリモート #情報交換 #DMまで

ClickOnce, Building simple clickonce loader ndolecki.gitlab.io/posts/cli…

#threatreport #MediumCompleteness Living off the Land with VS Code: Inside a Sophisticated Phishing Campaign | 19-05-2026 Source: joesecurity.org/blog/8858614… Key details below ↓ 💀Threats: Spear-phishing_technique, Lolbin_technique, Device_code_phishing_technique, Clickonce_tool, 🎯Victims: Government, Public safety, Law enforcement 🌐Geo: Pakistan 📚TTPs: ⚔️Tactics: 2 🛠️Technics: 0 🤖LLM extracted TTPs:` T1036.008, T1059.005, T1078.004, T1102.003, T1105, T1127.002, T1204.002, T1219, T1547.001, T1566.001, ... 🧨IOCs: - File: 10 - Hash: 4 - Url: 2 💽Software: Microsoft Word, Discord, Visual Studio Code, Windows service, Internet Explorer, Chrome, Firefox, Microsoft Edge 🔢Algorithms: sha256 🔠Functions: AutoOpen, IsCodeExeRunning #threatreport: A sophisticated multi-stage phishing campaign targeting the Punjab Safe Cities Authority (PSCA) and PPIC3 in Pakistan has been analyzed, highlighting the use of intelligent tactics by threat actors. The campaign employed spear-phishing emails that masqueraded as legitimate internal communications regarding the Safe Jail Project, integrating familiar terminology about design work and system layouts. This approach indicated thorough research into the organization's internal structure, which allowed the attackers to use specific recipient names and positions to increase the credibility of the deception. Key technical components of the phishing attack included a Microsoft Word document that contained macros designed to download and execute a binary named code.exe. The macro was built to capture and exfiltrate device authorization codes via Discord webhooks. Once the document was opened, the malicious macro executed automatically, compromising device security and subsequently preparing a JSON payload to send captured information to Discord, facilitating communication for status updates and data theft. Notably, the attack exploited the Visual Studio Code (VS Code) command-line interface, creatively repurposing VS Code Remote Tunnels. This legitimate feature typically allows users to link to a remote machine; however, the attackers used it to gain unauthorized access and establish persistence on the compromised device. Once the victim completed Microsoft’s device authentication, this macro informed the attackers through Discord, enabling further malicious actions facilitated by a persistent VS Code tunnel service. The exploitation of VS Code presented significant risks, as it offered a fully functional development environment that an attacker could manipulate. This manipulation included accessing an integrated terminal for backdoor actions, developing malware on the victim's machine, and executing various commands that may further the attacker's objectives. Rather than relying on traditional backdoor techniques, the threat actors leveraged fraudulently obtained access credentials to incorporate the victim’s system into their malicious infrastructure. A secondary component of the attack involved a ClickOnce deployment manifest titled ANPR Report.pdf. This file facilitated installation and execution of a .NET payload using Microsoft's ClickOnce technology, designed to retrieve an executable presumably named Adobe.exe, furthering the infection vector. The manifest's unusual naming and versioning suggested a potential impersonation tactic, and the analysis revealed the importance of the environment, with modern Microsoft Edge and Internet Explorer being suitable targets, given their support for ClickOnce and differing handling mechanisms.

パキスタン政府機関を狙う標的型攻撃「Operation Dragon Whistle」が確認された。Visual Studio Codeのリモートトンネル機能を悪用し、正規通信に偽装して侵入する高度な手口が使われている。 攻撃メールは政府系安全プロジェクトの関係者を装い、ANPR設計図やCAD図面に関する内部連絡を偽装して送信される。添付ファイルは2種類あり、1つはマクロ付きWord文書、もう1つはAdobe Reader更新を装う偽PDFだ。 Word文書「CAD Reprot.doc」を開くとマクロが自動実行され、「code.exe」を外部サーバーから取得。裏側でVisual Studio Codeのトンネル機能を起動し、Microsoft認証コードを生成する。そのコードはDiscord Webhook経由で攻撃者へ送信され、被害端末が攻撃者管理下のVS Codeトンネルへ登録される。通信自体はMicrosoftクラウド経由となるため、正規開発ツール通信に見えてしまう。 攻撃者は統合ターミナルを遠隔シェルとして利用でき、ファイルアクセスや追加マルウェア投入も可能になる。 もう一方のPDF「ANPR Reprot.pdf」はAdobe更新エラーを偽装し、ClickOnce形式の不正インストーラを実行させる。解析時点で配布サーバーは停止済みだったが、最終的には.NET製ペイロードを実行する構成だったとみられている。 cybersecuritynews.com/operat…

🚨 New research from Joe Security: A spear-phishing campaign targeting Pakistan’s PSCA & PPIC3 abused ⚡ VS Code Remote Tunnels and Discord webhooks for stealthy remote access. Instead of stealing Microsoft accounts, attackers enrolled victim machines into their own VS Code tunnel infrastructure using device-code authentication - a clever twist on classic phishing techniques. 🎯 Key findings: 🔹 Malicious Office macros downloading & executing `code.exe` 🔹 Abuse of legitimate VS Code tunneling workflows 🔹 Discord webhooks used for exfiltration & status reporting 🔹 ClickOnce-based PDF delivery chain impersonating Adobe Reader 🔹 Trusted Microsoft infrastructure leveraged for persistence & stealth This campaign highlights how threat actors increasingly weaponize legitimate developer tooling to blend into normal cloud traffic. ☁️💻 Read the full analysis here 👇 buff.ly/BE5w9Yq #CyberSecurity #ThreatIntelligence #MalwareAnalysis #Phishing #VSCode #Microsoft #BlueTeam #DFIR #JoeSecurity

詳しい方法 1. 設定から申請用総合ソフトアンインストール 2. 2.0フォルダ全削除、ドキュメントのフォルダ全削除（他のClickOnceアプリ入れている人は注意） 3. 再起動 4. インストーラーでインストール 5. windowsセキュリティーで、アクセス許可のアプリ一覧にShinseiyoSogoSoft.exeを追加

法務省の申請用総合ソフトの不具合とその解消法について共有する。v8からv9へのアップデートに注意。立ち上がらなくなる。ClickOnceの2.0フォルダに旧版のデータが残るため。2.0フォルダ含む申請用総合ソフト関連全削除後の再インストールで復活。フォルダがPCの色んなところに散在してるのが面倒！

One way to get around MOTW is to use ClickOnce to download a malicious doc. Since dfsvc.exe handles the download, the file doesn’t get tagged with the MOTW flag.

Just completed HTB Mini Pro Labs: PUSH! Mastered advanced lateral movement, NTLM coercion, ADCS attacks, and malicious ClickOnce deployments. 10 hours of hands-on Windows security exploitation—excited to apply these skills to real-world pentesting scenarios! #Cybersecurity #HTB

I just wrote a tutorial explaining how to combine Adaptix C2 with MacroPack and ShellcodePack! This provides multiple initial access and EDR evasion options to Adaptix C2 users. Tutorial includes: LNK, CLickOnce, DLL Sideloading, Exe, HTA, etc! #redteam blog.balliskit.com/tutorial-…

To stop SideWinder, you must audit DLL load events, kill ClickOnce at the gateway, and assume the perimeter is already breached. Zero-Trust isn't a buzzword anymore; it's the only way to stop fileless exfiltration.

I remember those days well! My team and I were suffering through the seven layers of ClickOnce hell at the time and even explored doing a squirrel-esque thing of our own, but your solution was so elegant and thoughtful. Thanks again for all the hard work!

自前のCでの開発から既存GUIツールとPythonを使う時代に移行したからかなーと予測はします CLI/TUIの範囲内の開発ならWindows APIみたいな九龍城触らんで済みますけれど、GUIならどっちにしろネイティブのAPIは九龍城ですし あとはデータ入力系のツールだと.NETで作ってClickOnceで配布がまぁ便利で