その後のOneNote悪用

ほぼこもセキュリティニュース By Terilogy Worx

OneNoteを使った攻撃の手口は少し前から多く観測されています。
その従来からある手口が、手順を追加することでセキュリティツールでの検出がより困難な攻撃へと変化していっています。
どのような手順なのでしょう。

  • 添付ファイルの付いたメールが届く
    この手順の部分は、従来からある手口と同じです。
    開きたくなる内容のメールに仕上げて届けられます。
    そのメールを読むと添付ファイルを開きたくなります。
  • 添付ファイルを開く
    添付ファイルはOneNoteのデータであるOnePKGファイルです。
    開くとOneNoteで内容が表示されます。
    中にはノートブックを構成するページ、セクション、画像など、特定のノートブックに関連する複数のファイルとフォルダーを含んでいます。
    このOnePKGファイルを添付するという手順の部分も従来からある手口と同じです。
  • パスワード入力を促す
    この部分が新しく追加された部分です。
    フィッシングメールに添付されているOnePKGファイルにはパスワードが設定されているのです。
    パスワードは元のフィッシングメールに記載されたものを入力させる仕組みになっています。
  • OneNoteに添付データ
    パスワード入力が実施されるとOneNoteの文書が表示されます。
    ここから先の手順は従来からある同じ流れです。
    文書にはVisualBasicのスクリプトが添付されているのですがそれはクリックしたくなる画像で覆い隠されていて見えない状態に仕上げられています。
    OneNoteの文書を開いて見ている人はこの画像の部分をダブルクリックします。
  • VisualBasicのスクリプトの実行
    画像の部分をダブルクリックするとその下に隠されていたVisualBasicのスクリプトが実行されます。
    この手順の部分も、従来からある手口と同じです。
    スクリプトはRedLine Stealerを開始します。
    RedLine Stealerは、ブラウザーから資格情報とデータを収集し、暗号通貨を盗み、コマンドを実行するために使用されるマルウェアです。

攻撃手順の多くの部分は従来からある内容のままです。
しかしパスワードで保護されたOnePKGファイルという形式に変更したことで、従来よりもセキュリティツールで検出される可能性を下げることが狙われています。

攻撃は常に巧妙化していきます。

参考記事(外部リンク):Hackers Use Password-Protected OneNote Files to Spread
Malware

perception-point.io/blog/hackers-use-password-protected-onenote-files-to-spread-malware/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。