Angreifer nutzen Microsoft OneNote-Anhänge, um Anmeldeinformationen zu stehlen und Malware zu verbreiten
Inhaltsverzeichnis:
Microsoft-Dokumente sind Phishing-Angriffen zum Opfer gefallen, und Gegner suchen kontinuierlich nach neuen Wegen, um schädliche Strains zu verbreiten. Sicherheitslücken, die Microsoft-Produkte kompromittieren, sorgen häufig für Aufsehen in der Cyber-Bedrohungsszene und betreffen eine Vielzahl von Nutzern, wie im Fall Follina Zero-Day-Schwachstelle und CVE-2022-22005.
Sicherheitsforscher informieren die globale Cyberabwehrgemeinschaft darüber, dass Hacker Microsoft-OneNote-Anhänge bei jüngsten Cyberangriffen als Köder in Phishing-E-Mails nutzen, um Malware zu installieren und unbefugten Zugriff auf sensible Daten der Nutzer zu erhalten.
Cyberangriffe erkennen, die OneNote-Anhänge missbrauchen
Cyberverteidiger bemühen sich, ultra-reaktiv zu sein, um proaktiv gegen neu auftretende Bedrohungen und gegnerische TTPs zu verteidigen. Während Bedrohungsakteure ständig mit neuen Angriffsvektoren und hinterhältigen Wegen experimentieren, um Malware zu verbreiten, kann die Implementierung proaktiver Cyberabwehrmaßnahmen Organisationen dabei helfen, Bedrohungen effizienter zu beheben.
Die SOC Prime Plattform aggregiert eine Reihe von Sigma-Regeln, um Sicherheitstechniker dabei zu unterstützen, die Infektion im Zusammenhang mit den OneNote-Anhängen in Phishing-E-Mails rechtzeitig zu identifizieren. Alle Erkennungsinhalte sind mit über 25 SIEM-, EDR-, BDP- und XDR-Lösungen kompatibel und sind dem MITRE ATT&CK®-Rahmenwerk v12.
Drücken Sie den Explore Detections Knopf unten, um auf die vollständige Liste der relevanten Erkennungsinhalte zuzugreifen, begleitet von umfangreichen Metadaten und CTI-Referenzen.
Microsoft-OneNote-Ausnutzung: Angriffsanalyse
Die Microsoft-OneNote-Anwendung, ein weit verbreitetes Desktop-Digital-Tool, das in den Microsoft Office 2019- und Microsoft 365-Paketen enthalten ist, wird derzeit von Angreifern missbraucht, um Phishing-basierte Malware-Angriffe zu starten.
Die Infektionskette beginnt mit dem Klicken auf einen Köderanhang, der ein Skript startet und Malware von entfernten Websites installiert. Forscher von Trustwave SpiderLabs beobachten seit Mitte Dezember 2022 die böswillige Aktivität unter Ausnutzung von OneNote-Anhängen, und die ersten Warnsignale bezüglich der Schwachstelle kamen von einem Tweet von Perception Point Attack Trends. Laut Cybersecurity-Forschern kann die über Phishing-E-Mails verbreitete Malware mit bösartigem Spam (malspam) OneNote-Anhängen Anmeldedaten stehlen, um Kryptowährungs-Wallets zu richten und andere Malware-Beispiele bereitzustellen.
Microsoft wendet in seinen Office-Dateien keine Makros mehr an, was Hackern keine Gelegenheit lässt, Excel- und Word-Dokumente für die Verbreitung schädlicher Strains auszunutzen. Im Gegensatz zu Excel und Word unterstützt OneNote jedoch keine Makros. Die Angriffsuntersuchung zeigt, dass die meisten Phishing-E-Mails einen Köder verwenden, der potenzielle Opfer dazu bringt, den trojanisierten Anhang doppelt anzuklicken. Nach dem Klicken wird das bösartige Visual Basic-Skript gestartet, das eine Verbindung zu einem entfernten Server herstellt und versucht, andere Malware, einschließlich einer Reihe von Trojanern, zu installieren. Die aufgedeckten Malspam-E-Mails fälschen häufig Versanddokumente, Rechnungen und Zeichnungen.
Als potenzielle Gegenmaßnahmen wird den OneNote-Nutzern empfohlen, die Multi-Faktor-Authentifizierung zu aktivieren, Antivirenschutz zu verwenden und bewährte Sicherheitspraktiken zu befolgen, um Phishing-Angriffen vorzubeugen.
Angesichts des ständig wachsenden Volumens von Cyberangriffen, die legitime Werkzeuge missbrauchen, die weltweit von Tausenden von Nutzern verwendet werden, benötigen Sicherheitsfachleute eine zuverlässige Quelle für Erkennungsinhalte, um den neuesten bösartigen Tricks und Ansätzen einen Schritt voraus zu sein. Durchsuchen Sie socprime.com , um nach Sigma-Regeln gegen aktuelle und neu auftretende Bedrohungen zu suchen, einschließlich über 9.000 Ideen für Detection Engineering und Threat Hunting sowie umfassende Cyber-Bedrohungskontexte. Oder upgraden Sie auf On Demand , um Zugriff auf Premium Sigma-Regeln freizuschalten, die relevantesten Erkennungen zur Hand zu haben und die Bedrohungsjagd zu beschleunigen.
