OneNote 正在被更多的攻击者使用 _OneNote

随着微软默认禁用宏代码策略的生效，越来越多的攻击者开始使用 OneNote 文档来分发恶意软件。本文介绍了几个使用 OneNote 文档的案例，展示了攻击者如何使用该类文件进行攻击。
【OneNote 正在被更多的攻击者使用】为什么选择 OneNote
由于 OneNote 使用范围很广、用户对该类文件缺乏安全意识和保护措施，OneNote 文档对于攻击者来说已经成为越来越有吸引力的攻击载体。攻击者利用混淆内容与 OneNote 的受信任身份来进行攻击，这种转变的具体原因包括：

安全措施的增强：由于对基于宏代码的攻击认识不断提高，许多组织已经采取了很多措施来阻止此类攻击。2022 年 7 月，微软正式宣布在所有 office 应用程序上默认禁用宏代码，这使得恶意软件分发的可靠性下降。
OneNote 的广泛使用：OneNote 作为广泛使用的应用程序，并且能够嵌入不同类型的内容。OneNote 预装在所有 Office 程序的安装程序中，这意味着即使用户并不使用 OneNote 也可以利用该类文件进行攻击。
缺乏安全意识：OneNote 的攻击并不像基于宏代码的攻击那样广为人知，组织可能并没有足够的安全措施来预防此类攻击。
规避技术：windows 会对从互联网下载的文件进行 Web 标记，但 OneNote 并不会受此影响。攻击者可以嵌入可执行文件或者启用宏代码的文档，这都不会触发系统的安全告警。
受信任的应用程序：由于 OneNote 是受信任的应用程序，用户很容易上当。并且，OneNote 也更容易与其他微软的产品（如 Office、OneDrive 等）进行集成。

ThreatLabz 的安全研究员 Niraj 开发了名为 OneNoteAnalyzer 的分析工具，可以大大加快分析效率。

文章插图

OneNoteAnalyzer 分析工具
远控木马
从 2022 年 12 月开始，攻击者一直在使用 OneNote 文件分发远控木马，例如 AsyncRAT、Quasar RAT?.NETWire 和 Xworm 。这些攻击中，OneNote 文件都使用了复杂的混淆技术，逃避安全软件的检测。
在调查过程中，研究人员发现文件被命名为 PaymentAdv.one：