चूंकि Microsoft ने 2022 में डिफ़ॉल्ट रूप से मैक्रोज़ को ब्लॉक करना शुरू कर दिया था, साइबर अपराधियों ने कई नई रणनीति, तकनीकों और प्रक्रियाओं (TTPs) के साथ प्रयोग किया है, जिसमें वर्चुअल हार्ड डिस्क ड्राइव (VHD), संकलित HTML (CHM) जैसे पहले शायद ही कभी देखे गए फ़ाइल प्रकारों का उपयोग शामिल है। , और अब OneNote (.one)। विश्लेषण के समय, प्रूफपॉइंट द्वारा देखे गए कई OneNote मैलवेयर नमूनों को VirusTotal पर कई एंटीवायरस विक्रेताओं द्वारा नहीं खोजा गया था।
जबकि ईमेल के विषय और प्रेषक अलग-अलग होते हैं, लगभग सभी अभियान मैलवेयर फैलाने के लिए अद्वितीय संदेशों का उपयोग करते हैं और आमतौर पर थ्रेड हाइजैकिंग का उपयोग नहीं करते हैं। ई-मेल में आमतौर पर "चालान", "बैंक हस्तांतरण", "शिपिंग" या मौसमी विषयों जैसे "अवकाश बोनस" जैसे विषयों के साथ OneNote फ़ाइल संलग्नक होते हैं। जनवरी 2023 के मध्य में, प्रूफ़पॉइंट शोधकर्ताओं ने साइबर अपराधियों को OneNote अटैचमेंट सबमिट करने के लिए URL का उपयोग करते हुए देखा जो मैलवेयर को निष्पादित करने के लिए समान TTP का लाभ उठाते हैं। इसमें 577 जनवरी, 31 को TA2023 अभियान शामिल है।
एम्बेडेड फ़ाइलों के साथ OneNote दस्तावेज़
OneNote दस्तावेज़ों में एम्बेडेड फ़ाइलें होती हैं, जो अक्सर एक ग्राफ़िक के पीछे छिपी होती हैं जो एक बटन की तरह दिखाई देती हैं। यदि उपयोगकर्ता एम्बेडेड फ़ाइल पर डबल-क्लिक करता है, तो उसे एक चेतावनी के साथ प्रस्तुत किया जाएगा। जब उपयोगकर्ता अगला क्लिक करता है, तो फ़ाइल चलती है। फ़ाइल विभिन्न प्रकार की निष्पादन योग्य फ़ाइलें, शॉर्टकट फ़ाइलें (LNK) या HTML एप्लिकेशन (HTA) या Windows स्क्रिप्ट फ़ाइलें (WSF) जैसी स्क्रिप्ट फ़ाइलें हो सकती हैं।
दिसंबर 2022 और 31 जनवरी, 2023 के बीच OneNote अटैचमेंट का उपयोग करने वाले अभियानों की संख्या में उल्लेखनीय वृद्धि हुई है। जबकि प्रूफपॉइंट विशेषज्ञों ने केवल दिसंबर में AsyncRAT मैलवेयर के साथ OneNote अभियानों का अवलोकन किया, जनवरी 2023 में शोधकर्ताओं ने OneNote अनुलग्नकों के माध्यम से वितरित सात अन्य प्रकार के मैलवेयर पाए: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, और DOUBLEBACK Qbot। अभियानों ने यूरोप सहित दुनिया भर के संगठनों को लक्षित किया।
अभियानों की बढ़ती संख्या और विभिन्न प्रकार के मैलवेयर तैनात किए जाने से पता चलता है कि अब OneNote का उपयोग विभिन्न कौशल सेट वाले कई अभिनेताओं द्वारा किया जा रहा है। जबकि कुछ अभियान समान लालच और ऑडियंस का उपयोग करते हैं, अधिकांश अभियान विभिन्न बुनियादी ढांचे, थीम और ऑडियंस का उपयोग करते हैं। एक विशिष्ट साइबर अपराधी समूह को केवल एक अभियान सौंपा जा सकता है: TA577।
चिंता और आशा
प्रूफपॉइंट का मानना है कि कई साइबर अपराधी समूह रक्षा तंत्र को धोखा देने के लिए OneNote अनुलग्नकों का उपयोग कर रहे हैं। TA577 द्वारा OneNote का उपयोग इंगित करता है कि अन्य, अधिक सक्षम खिलाड़ी जल्द ही इस तकनीक को अपनाएंगे। यह चिंताजनक है: एक तथाकथित "प्रारंभिक एक्सेस ब्रोकर" के रूप में, TA577 रैनसमवेयर सहित अन्य मैलवेयर के साथ बाद के संक्रमणों का मार्ग प्रशस्त करता है। ओपन-सोर्स मालवेयर रिपॉजिटरी में डेटा के आधार पर, प्रूफपॉइंट ने निर्धारित किया कि मूल रूप से उपयोग किए गए अटैचमेंट को कई एंटीवायरस इंजनों द्वारा दुर्भावनापूर्ण नहीं पाया गया। इसलिए, यह संभावना है कि प्रारंभिक अभियानों में उच्च प्रभावशीलता दर थी (प्रूफपॉइंट ग्राहकों को संरक्षित किया गया था क्योंकि संदेशों को दुर्भावनापूर्ण के रूप में वर्गीकृत किया गया था)।
आशा का एक कारण यह तथ्य है कि एक हमला केवल तभी सफल होता है जब प्राप्तकर्ता अटैचमेंट को खोलने के बाद कार्रवाई करता है, विशेष रूप से एम्बेडेड फ़ाइल पर क्लिक करके और OneNote द्वारा प्रदर्शित चेतावनी संदेश को अनदेखा करके। व्यवसायों को अपने अंतिम उपयोगकर्ताओं को इस तकनीक के बारे में शिक्षित करना चाहिए और उन्हें संदिग्ध ईमेल और अटैचमेंट की रिपोर्ट करने के लिए प्रोत्साहित करना चाहिए।
Proofpoint.com पर अधिक
प्रूफपॉइंट के बारे में प्रूफपॉइंट, इंक. एक अग्रणी साइबर सुरक्षा कंपनी है। प्रूफपॉइंट का फोकस कर्मचारियों की सुरक्षा है। क्योंकि इनका मतलब किसी कंपनी के लिए सबसे बड़ी पूंजी है, लेकिन सबसे बड़ा जोखिम भी। क्लाउड-आधारित साइबर सुरक्षा समाधानों के एक एकीकृत सूट के साथ, प्रूफपॉइंट दुनिया भर के संगठनों को लक्षित खतरों को रोकने में मदद करता है, उनके डेटा की रक्षा करता है, और एंटरप्राइज़ आईटी उपयोगकर्ताओं को साइबर हमलों के जोखिमों के बारे में शिक्षित करता है।