Hackers now use Microsoft OneNote attachments to spread malware
2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word/Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード/インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。
しかし、脅威アクターたちは直ちに、ISO イメージを用いて、また、パスワードで保護された ZIP ファイルなどを用いて、新しい戦術を取るようになってきた。Windows のバグにより、ISO がセキュリティ警告を回避してきたことや、人気の 7-Zip アーカイブから抽出されたファイルに、MoTW (Mark-of-The-Web) フラグが伝搬されなかったことで、これらのファイル形式は、すぐに非一般的なものになってきた。
しかし、最近になって Windows と 7-Zip のバグが修正されたことで、ユーザーがダウンロードした ISO/ZIP ファイルを開こうとすると、Windows のセキュリティ警告が表示されるようになった。
Source: BleepingComputer
このような状況にもめげない脅威アクターたちは、すぐに悪質なスパム (マルスパム) として、新しいファイル形式を使用するようになった。それが、Microsoft OneNote の添付ファイルである。
OneNoteの添付ファイルを悪用する
Microsoft OneNote は、無料でダウンロードできるものであり、また、Microsoft Office 2019 および Microsoft 365 にも含まれる、デスクトップ用デジタルノート・アプリである。
Microsoft OneNote は、Microsoft Office/365 のインストール時にデフォルトでインストールされるため、Windows ユーザーが使用しない場合であっても、そのファイル形式を開くことが可能となる。
2022年12月中旬以降において、サイバー・セキュリティ研究者たちが、OneNote の添付ファイルを含む悪意のスパム・メールを、脅威アクターたちが配信し始めたと警告している。
BleepingComputer が発見したサンプルによると、これらのマルスパム・メールは、DHL の出荷通知/請求書/ACH 送金フォーム/機械図面/出荷書類などを装っている。
Source: BleepingComputer
Word や Excel とは異なり、OneNote はマクロをサポートしていない。つまり、これまでに、マルウェアをインストールするために、脅威アクターたちが用いてきたスクリプト起動が不可能となっている。
その一方で OneNote の場合は、ノートブックに挿入された添付ファイルが、ユーザーにダブルクリックされると、対象となる添付ファイルが起動するようになっている。
脅威者たちは、この機能を悪用して、ダブルクリックすると自動的にスクリプトを起動し、リモート・サイトからマルウェアをダウンロード/インストールするための、悪意の VBS ファイルを添付している。
しかし、この添付ファイルは、OneNote 上ではファイル・アイコンのように見えるため、挿入された VBS 添付ファイルの上に、大きな [Double Click to View File]バーを重ねて隠蔽するという手口を、脅威アクターたちは用いている。
Source: BleepingComputer
この [Double Click to View File] バーを移動すると、複数の悪意の添付ファイルが含まれていることがわかる。この添付ファイルの列により、ユーザーがバーのどこかをダブルクリックすると、添付ファイル起動するようになっている。
Source: BleepingComputer
ありがたいことに、OneNote の添付ファイルを起動する際には、コンピュータやデータに害を及ぼす可能性があることが警告される。
しかし、残念なことに、この種の警告は無視されることが多く、ユーザーは [OK] ボタンを簡単にクリックしてしまうことが、これまでの経緯から明らかにされている。
Source: BleepingComputer
この [OK] ボタンをクリックすると、VBS スクリプトが起動し、マルウェアがダウンロード/インストールされる。BleepingComputer が発見した、悪意の OneNote VBS ファイルの1つを見れば分かるように、このスクリプトにより、リモート・サーバから2つのファイルがダウンロードされ実行される。
以下に示す最初のものは、おとり用の OneNote 文書であり、期待したように文書が開き、参照できるようになっている。しかし、この VBS ファイルは、バック・グラウンドで悪意のバッチファイルを実行し、デバイスにマルウェアをインストールすることもある。
Source: BleepingComputer
BleepingComputer が確認したマルスパム・メールでは、添付された OneNote ファイルにより、情報窃取機能を含むリモート・アクセス型トロイの木馬がインストールされた。
サイバー・セキュリティ研究者の James も、それを確認している。彼が分析した OneNote の添付ファイルには、AsyncRAT および XWorm リモート・アクセス・トロイジャンがインストールされていると、BleepingComputer に語っている。
なお、BleepingComputer が確認した OneNote の添付ファイルは、Quasar Remote Access トロイの木馬をインストールするものだ。
これらの脅威からの保護
この種のマルウェアがインストールされると、被害者のデバイスにリモート・アクセスする脅威アクターにより、ファイル/ブラウザ・パスワード/スクリーンショットなどが盗み出され、さらには、Web カメラを用いてビデオ録画も可能にするようだ。
また、脅威アクターたちは、リモート・アクセス型トロイの木馬を使用して、被害者のデバイスから暗号通貨ウォレットを盗むため、この感染による被害は甚大なものとなる。
悪意の添付ファイルから身を守る最善の方法は、知らない人からのファイルを開かないようにすることだ。しかし、誤ってファイルを開いてしまった場合には、OS や アプリ表示する警告を無視してはいけない。
添付ファイルやリンクを開いたときに警告が表示され、コンピュータやファイルに害を及ぼす可能性があるという知らせる場合には、[OK] を押さずにアプリを終了してほしい。
正当なメールだと思われる場合は、セキュリティ担当者や Windows 管理者と共有し、そのファイルの安全性について確認するようにしてほしい。
Windows の Mark of the Web (MoTW) をめぐる攻防戦ですが、VBA マクロから Excel アドインの XLL ファイルへと飛び火し、今後は OneNote ということです。最近は、OneNote を使っていないので、詳細までは思い出せませんが、個々のオブジェクト (ファイル) に対してクリック・イベントを多用する UI だったと記憶しています。
2023/01/23:2023年3月から Excel XLL add-in の制限が始まる
2022/12/28:APT:新たな手口は XLL Add-in 侵入ベクター
2021/12/05:Excel XLL アドインが RedLine マルウェアをプッシュ
よろしければ、MoTW で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.