OneNote 駭客散播惡意軟體最愛媒介
編譯/鄭智懷
資安業者Proofpoint警告,自2022年12月開始,越來越多駭客開始採用Microsoft 365 套件中的數位筆記軟體OneNote散播惡意軟體,藉此竊取受害者的個資,甚至是入侵加密貨幣錢包。
Proofpoint指出,駭客組織TA577在去年12月開始透過電子郵件向受害者散播夾帶附有惡意軟體AsyncRAT的OneNote檔案,共有六次攻擊活動。2023年1月,其他駭客組織也開始利用相同的手法散播各式惡意軟體,譬如前述的AsyncRAT,以及Redline、AgentTesla 和 DOUBLEBACK等;攻擊活動至少超過50次。此時也出現駭客使用 URL 散播OneNote附檔的案例。
Proofpoint表示,利用OneNote散播惡意軟體的攻擊活動遍佈全球,主要集中在北美洲和歐洲。而在攻擊產業上,製造業、工業和教育業是受攻擊的重點目標。
在手法上,Proofpoint發現攻擊活動有相同的特徵。雖然郵件主旨和寄件人有所不同,但內容大多涉及發票、匯款、運輸和季節性主題(例如聖誕節禮品或獎金)。
Proofpoint提到,駭客組織TA577作為利用OneNote進行初始訪問代理(IAB)者,其促進包含勒索軟體在內的惡意軟體攻擊活動。事實上,最初的攻擊行動並未被多款防毒軟體發現,且夾帶惡意軟體的OneNote附檔也並未被其列為惡意檔案。
Proofpoint提醒,只有收件人打開並下載惡意郵件夾帶的附檔,並且忽略OneNote的警告開啟之,攻擊才會成功。Proofpoint建議,各單位應該對旗下成員展開相關教育,防範類似攻擊,並且回報可疑電子郵件和附檔。
資料來源:Proofpoint
瀏覽 585 次
