その後のOneNote悪用

OneNoteを使った攻撃の手口は少し前から多く観測されています。
その従来からある手口が、手順を追加することでセキュリティツールでの検出がより困難な攻撃へと変化していっています。
どのような手順なのでしょう。

• 添付ファイルの付いたメールが届く
  この手順の部分は、従来からある手口と同じです。
  開きたくなる内容のメールに仕上げて届けられます。
  そのメールを読むと添付ファイルを開きたくなります。
• 添付ファイルを開く
  添付ファイルはOneNoteのデータであるOnePKGファイルです。
  開くとOneNoteで内容が表示されます。
  中にはノートブックを構成するページ、セクション、画像など、特定のノートブックに関連する複数のファイルとフォルダーを含んでいます。
  このOnePKGファイルを添付するという手順の部分も従来からある手口と同じです。
• パスワード入力を促す
  この部分が新しく追加された部分です。
  フィッシングメールに添付されているOnePKGファイルにはパスワードが設定されているのです。
  パスワードは元のフィッシングメールに記載されたものを入力させる仕組みになっています。
• OneNoteに添付データ
  パスワード入力が実施されるとOneNoteの文書が表示されます。
  ここから先の手順は従来からある同じ流れです。
  文書にはVisualBasicのスクリプトが添付されているのですがそれはクリックしたくなる画像で覆い隠されていて見えない状態に仕上げられています。
  OneNoteの文書を開いて見ている人はこの画像の部分をダブルクリックします。
• VisualBasicのスクリプトの実行
  画像の部分をダブルクリックするとその下に隠されていたVisualBasicのスクリプトが実行されます。
  この手順の部分も、従来からある手口と同じです。
  スクリプトはRedLine Stealerを開始します。
  RedLine Stealerは、ブラウザーから資格情報とデータを収集し、暗号通貨を盗み、コマンドを実行するために使用されるマルウェアです。

攻撃手順の多くの部分は従来からある内容のままです。
しかしパスワードで保護されたOnePKGファイルという形式に変更したことで、従来よりもセキュリティツールで検出される可能性を下げることが狙われています。

攻撃は常に巧妙化していきます。

参考記事（外部リンク）：Hackers Use Password-Protected OneNote Files to Spread
Malware
perception-point.io/blog/hackers-use-password-protected-onenote-files-to-spread-malware/