Microsoft, 2022'de makroları varsayılan olarak engellemeye başladığından beri siber suçlular, sanal sabit disk sürücüleri (VHD), derlenmiş HTML (CHM) gibi daha önce nadiren gözlemlenen dosya türlerinin kullanımı da dahil olmak üzere birçok yeni taktik, teknik ve prosedür (TTP) denedi. ve şimdi OneNote (.one). Analiz sırasında, Proofpoint tarafından gözlemlenen birkaç OneNote kötü amaçlı yazılım örneği, VirusTotal'daki çok sayıda antivirüs satıcısı tarafından tespit edilmedi.
E-postaların konuları ve göndericileri değişiklik gösterse de, neredeyse tüm kampanyalar kötü amaçlı yazılım yaymak için benzersiz mesajlar kullanır ve genellikle ileti dizisini ele geçirmeyi kullanmaz. E-postalar genellikle "fatura", "banka havalesi", "nakliye" veya "tatil ikramiyesi" gibi dönemsel konuları içeren OneNote dosya ekleri içerir. Ocak 2023'ün ortalarında Proofpoint araştırmacıları, kötü amaçlı yazılım yürütmek için aynı TTP'lerden yararlanan OneNote ekleri göndermek için URL'leri kullanan siber suçluları gözlemledi. Buna 577 Ocak 31'teki bir TA2023 kampanyası dahildir.
Gömülü dosyalara sahip OneNote belgeleri
OneNote belgeleri, genellikle düğme gibi görünen bir grafiğin arkasına gizlenmiş katıştırılmış dosyalar içerir. Kullanıcı gömülü dosyayı çift tıklarsa, kendisine bir uyarı sunulur. Kullanıcı İleri'ye tıkladığında dosya çalışır. Dosya, farklı türde yürütülebilir dosyalar, kısayol dosyaları (LNK) veya HTML uygulaması (HTA) veya Windows komut dosyası dosyaları (WSF) gibi komut dosyası dosyaları olabilir.
OneNote eklerinin kullanıldığı kampanya sayısı Aralık 2022 ile 31 Ocak 2023 arasında önemli ölçüde arttı. Proofpoint uzmanları Aralık ayında yalnızca AsyncRAT kötü amaçlı yazılım içeren OneNote kampanyalarını gözlemlerken, Ocak 2023'te araştırmacılar OneNote ekleri aracılığıyla dağıtılan yedi başka kötü amaçlı yazılım türü daha buldu: Redline, AgentTesla, Quasar RAT, XWorm, Netwire ve DOUBLEBACK Qbot. Kampanyalar, Avrupa da dahil olmak üzere dünyanın dört bir yanındaki kuruluşları hedef aldı.
Artan kampanya sayısı ve dağıtılan kötü amaçlı yazılım çeşitliliği, OneNote'un artık farklı becerilere sahip birden çok aktör tarafından kullanıldığını gösteriyor. Bazı kampanyalar benzer yemler ve hedef kitleler kullanırken, çoğu kampanya farklı altyapı, temalar ve hedef kitleler kullanır. Belirli bir siber suçlu grubuna yalnızca bir kampanya atanabilir: TA577.
endişe ve umut
Proofpoint, birkaç siber suçlu grubunun savunma mekanizmalarını kandırmak için OneNote eklerini kullandığına inanıyor. TA577'nin OneNote'u kullanması, diğer, daha yetenekli oyuncuların yakında bu tekniği benimseyeceğini gösteriyor. Bu endişe verici: Sözde bir "ilk erişim aracısı" olarak TA577, fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yazılımlarla sonraki bulaşmaların önünü açıyor. Proofpoint, açık kaynaklı kötü amaçlı yazılım havuzlarındaki verilere dayanarak, orijinal olarak kullanılan eklerin birkaç antivirüs motoru tarafından kötü amaçlı olarak algılanmadığını belirledi. Bu nedenle, ilk kampanyaların yüksek bir etkinlik oranına sahip olması muhtemeldir (Mesajlar kötü amaçlı olarak sınıflandırıldığı için Proofpoint müşterileri korunmuştur).
Umut etmenin bir nedeni, bir saldırının yalnızca alıcının eki açtıktan sonra, özellikle katıştırılmış dosyayı tıklatıp OneNote'un görüntülediği uyarı mesajını göz ardı ederek harekete geçmesi durumunda başarılı olacağı gerçeğidir. İşletmeler, son kullanıcılarını bu teknik konusunda eğitmeli ve onları şüpheli e-postaları ve ekleri bildirmeye teşvik etmelidir.
Daha fazlası Proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.