Proofpoint araştırmacılarına göre OneNote belgeleri, tehdit aktörleri tarafından şüphelenmeyen son kullanıcılara e-posta yoluyla kötü amaçlı yazılım göndermek için giderek daha fazla kullanılıyor. Ek kötü amaçlı yazılım yüklemek, şifreleri çalmak ve hatta kripto para cüzdanlarına erişmek için kullanılabilecek uzaktan erişim kötü amaçlı yazılımlarını kurbanlara bulaştırır.
Microsoft, Microsoft 365 ürün paketi aracılığıyla kullanılabilen dijital not defteri OneNote’u geliştirdi.
Proofpoint araştırmacıları, “Tehdit aktörleri, .one uzantıları olan OneNote belgeleri aracılığıyla, e-posta ekleri ve URL’ler aracılığıyla kötü amaçlı yazılım dağıtıyor”,
Kötü amaçlı yazılım indirmek ve yüklemek için makroları başlatan kötü amaçlı Word ve Excel eklerini yıllarca kullandıktan sonra, saldırganlar artık kötü amaçlı yazılımı e-postalar yoluyla yaymak için bu yöntemi kullanıyor.
Ancak Microsoft nihayet Temmuz ayında Office belgelerinde makroları varsayılan ayar olarak yasakladı ve bu tekniği kötü amaçlı yazılım yaymak için etkisiz hale getirdi.
Raporlar, Mesajların genellikle diğer konuların yanı sıra fatura, havale, nakliye ve Noel ikramiyesi gibi mevsimlik temalar gibi temalara sahip OneNote dosya ekleri içerdiğini söylüyor.
“OneNote belgeleri, genellikle düğme gibi görünen bir grafiğin arkasına gizlenmiş katıştırılmış dosyalar içerir. Kullanıcı katıştırılmış dosyayı çift tıklattığında, kendisine bir uyarı sorulacaktır. Kullanıcı devam et’i tıklarsa dosya yürütülür”, araştırmacıları açıklayın
Dosyada çeşitli yürütülebilir dosyalar, kısayol (LNK) dosyaları ve HTML uygulamaları (HTA) veya Windows komut dosyası dosyaları (WSF) gibi komut dosyası dosyaları bulunabilir.
Aralık kampanyasında, iletilerdeki bir OneNote eki, bir URL’den yürütülebilir bir dosya (Excel.exe gibi) indirmek için bir PowerShell komut dosyası başlatan bir HTA dosyası içeriyordu. Bu iletişimler, sanayi ve imalat sektörlerindeki şirketlere yönelikti.
Araştırmalar, öncelikle eğitim sektörü ve diğer sektörlerdeki işletmeleri hedef alan fatura ve gönderi temalarının yanı sıra “Noel ikramiyesi” veya “Noel hediyesi” cazibelerinin kullanıldığı diğer çabaların bir parçası olarak binlerce iletişimin gönderildiğini söylüyor.
Araştırmacılar, “Kampanyalar, OneNote ekindeki gizli gömülü dosyalarla aynı TTP’leri kullanmaya devam etti ve bu da sonuçta bir kötü amaçlı yazılım yükünün indirilmesine yol açtı”, araştırmacılar.
“Birden çok kampanyada aktörler, yükleri barındırmak için yasal “OneNote Gem” ve Transfer.sh hizmetlerini kullandı”.
Ayrıca, araştırmacılar tarafından fatura temalarını kullanan ve XWorm ve AsyncRAT dağıtan bir kampanya keşfedildi. Cazibesi hem İngilizce hem de Fransızca kullandı. İletilerdeki bir OneNote ekinde, bir URL’den bir toplu iş dosyası (system32.bat) indirmek için kullanılabilecek bir PowerShell betiği vardı.
“19 Ocak 2023’te DOUBLEBACK arka kapısını dağıtan düşük hacimli bir kampanya gözlemlendi. DOUBLEBACK, ana bilgisayar ve ağ keşfi, veri hırsızlığı ve takip yüklerini etkinleştirebilen bir bellek içi arka kapıdır”, araştırmacılar
İletiler, URI’si /download/ ile biten birkaç etki alanında URL’ler içeriyordu.https://cybersecuritynews.com/?p=13652. Aktörün daha önce kurbanla iletişime geçtiğini ve ilgili dosyaların bulut depolama alanına yüklendiğini iddia etti.
Şablon tarafından kurbana “Dosyayı Görüntülemek İçin Çift Tıklayın” talimatı verildi. OneNote, düğmenin arkasına gizlenmiş bir VBS dosyasını çalıştırmayı dener. Mağdur, ekleri açmasına izin verilmeden önce güvenlik endişeleri konusunda uyarılacaktır. Kurban devam ederse, VBS sonuna kadar yürütülecekti.
31 Ocak 2023’te ilk erişim aracısı TA577, bir aylık aradan sonra yeniden faaliyete geçti ve Qbot’a OneNote’u içeren bir saldırı zinciri sağladı. E-posta gövdesinde farklı bir URL’ye sahip e-postalar, daha önceki konuşmalara yanıt veriyor gibiydi.
Kurban dosyayı çift tıkladıysa ve güvenlik istemini onayladıysa, araştırmacılar uzak bir URL’den dosya indiren ve sahte bir hata mesajı görüntüleyen JavaScript kodunun yürütüldüğünü söylüyor.
Son söz
Araştırmacılar, birkaç tehdit aktörünün OneNote eklerini kullanarak tehdit algılamalarını aşmaya çalıştığından şüpheleniyor.
Bir saldırı, yalnızca hedef ekle etkileşime girerse, daha doğrusu gömülü dosyaya tıklayıp OneNote uyarısını yoksayarsa başarılı olabilir. Son kullanıcılar kuruluşlar tarafından bu taktik hakkında bilgilendirilmeli ve kullanıcılardan şüpheli e-postaları ve ekleri bildirmeleri istenmelidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin