З тих пір, як у 2022 році Microsoft почала блокувати макроси за замовчуванням, кіберзлочинці експериментували з багатьма новими тактиками, техніками та процедурами (TTP), включаючи використання типів файлів, які раніше рідко спостерігалися, як-от віртуальні жорсткі диски (VHD), скомпільований HTML (CHM) , а тепер OneNote (.one). Під час аналізу кілька зразків зловмисного програмного забезпечення OneNote, спостережених Proofpoint, не були виявлені багатьма постачальниками антивірусів на VirusTotal.
Хоча теми та відправники електронних листів відрізняються, майже всі кампанії використовують унікальні повідомлення для розповсюдження зловмисного програмного забезпечення та зазвичай не використовують викрадення потоків. Електронні листи зазвичай містять вкладені файли OneNote із такими темами, як «рахунок-фактура», «банківський переказ», «доставка» або сезонними темами, такими як «премія до свят». У середині січня 2023 року дослідники Proofpoint спостерігали, як кіберзлочинці використовують URL-адреси для надсилання вкладень OneNote, які використовують ті самі TTP для запуску зловмисного програмного забезпечення. Це включає кампанію TA577 31 січня 2023 року.
Документи OneNote із вбудованими файлами
Документи OneNote містять вбудовані файли, часто приховані за зображенням, схожим на кнопку. Якщо користувач двічі клацне вбудований файл, йому буде запропоновано попередження. Коли користувач натискає Далі, файл запускається. Файл може бути різних типів виконуваних файлів, файлів ярликів (LNK) або файлів сценаріїв, таких як HTML-додаток (HTA) або файли сценаріїв Windows (WSF).
З грудня 2022 року по 31 січня 2023 року кількість кампаній, у яких використовуються вкладення OneNote, значно зросла. Хоча експерти Proofpoint спостерігали лише за кампаніями OneNote із зловмисним програмним забезпеченням AsyncRAT у грудні, у січні 2023 року дослідники виявили сім інших типів зловмисного програмного забезпечення, що розповсюджується через вкладення OneNote: Redline, AgentTesla, Quasar RAT, XWorm, Netwire та DOUBLEBACK Qbot. Ці кампанії були спрямовані на організації по всьому світу, включаючи Європу.
Зростаюча кількість кампаній і розгортання різноманітних зловмисних програм свідчать про те, що OneNote тепер використовується багатьма акторами з різними наборами навичок. У той час як деякі кампанії використовують подібні спокуси та аудиторію, більшість кампаній використовують іншу інфраструктуру, теми та аудиторію. Лише одна кампанія може бути віднесена до певної групи кіберзлочинців: TA577.
турбота і надія
Proofpoint вважає, що кілька груп кіберзлочинців використовують вкладення OneNote, щоб обдурити механізми захисту. Використання OneNote у TA577 свідчить про те, що інші, більш здібні гравці незабаром переймуть цю техніку. Це викликає занепокоєння: як так званий «посередник початкового доступу», TA577 прокладає шлях для подальшого зараження іншим шкідливим програмним забезпеченням, зокрема програмами-вимагачами. Ґрунтуючись на даних у сховищах зловмисного програмного забезпечення з відкритим кодом, Proofpoint визначив, що початково використані вкладення не були виявлені декількома антивірусними механізмами як шкідливі. Тому цілком імовірно, що початкові кампанії мали високий рівень ефективності (клієнти Proofpoint були захищені, оскільки повідомлення класифікувалися як шкідливі).
Однією з причин для надії є той факт, що атака буде успішною, лише якщо одержувач вживе заходів після відкриття вкладення, зокрема, клацнувши вбудований файл і проігнорувавши попередження, яке відображає OneNote. Компанії повинні навчати своїх кінцевих користувачів цій техніці та заохочувати їх повідомляти про підозрілі електронні листи та вкладення.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.