攻撃者がMicrosoft OneNoteの添付ファイルを利用して認証情報を盗み、マルウェアを拡散

[post-views]
2月 01, 2023 · 6 分で読めます
攻撃者がMicrosoft OneNoteの添付ファイルを利用して認証情報を盗み、マルウェアを拡散

Microsoft のドキュメントがフィッシング攻撃の犠牲となり、敵対者は悪意あるストレインを拡散する新しい方法を常に模索しています。Microsoft 製品のセキュリティ脆弱性は、サイバー脅威の分野で騒動を引き起こし、多くのユーザーに影響を及ぼすことが多いです。例えば、 Follina ゼロデイの欠陥や CVE-2022-22005.

セキュリティ研究者は、最近のサイバー攻撃でハッカーが Microsoft OneNote の添付ファイルを利用してフィッシングメールでマルウェアをインストールし、ユーザーの機密データに不正アクセスを得るための手段として利用していると、世界のサイバー防衛コミュニティに情報を提供しています。

OneNote 添付ファイルを悪用したサイバー攻撃の検出

サイバー防衛者たちは、新たに出現する脅威や敵対者の TTPs に対して先手を打って防御するために最大限に敏感になろうと努めています。脅威アクターは新しい攻撃ベクトルやマルウェアを拡散する巧妙な手段を常に模索していますが、積極的なサイバー防御の実践を導入することで、組織はより効率的に脅威を回避することができます。

SOC Prime プラットフォームは、フィッシングメールでの OneNote 添付ファイルの拡散に関連する感染をタイムリーに特定するための Sigma ルールのバッチを集約します。すべての検出コンテンツは、25以上の SIEM、EDR、BDP、XDR ソリューションに対応し、 MITRE ATT&CK® フレームワーク v12.

以下の 検出を探す ボタンを押して、関連する検出コンテンツの完全なリストにアクセスし、広範なメタデータと CTI リファレンスが添付されています。

検出を探す

Microsoft OneNote の悪用: 攻撃分析

Microsoft OneNote アプリケーションは、Microsoft Office 2019 と Microsoft 365 パッケージに含まれる広く使用されているデスクトップデジタルユーティリティであり、現在は攻撃者によってフィッシングベースのマルウェア攻撃を開始するために悪用されています。

感染チェーンは、誘導的な添付ファイルをクリックすることから始まり、スクリプトを起動してリモートのWebサイトからマルウェアをインストールします。Trustwave SpiderLabs の研究者は 悪質な活動を観察しており、 2022年12月中旬以来この OneNote 添付ファイルを悪用しており、脆弱性に関する最初の警鐘は Perception Point Attack Trendsのツイートから発せられました。サイバーセキュリティ研究者によれば、フィッシングメールを介して配布されるマルウェアは 悪意のあるスパム (malspam) OneNote 添付ファイル を含んでおり、暗号通貨ウォレットを標的とする資格情報を盗み、他のマルウェアのサンプルを展開することができます。

Microsoftはその Office ファイルにマクロを適用せず、ハッカーが Excel や Word ドキュメントを利用して悪意あるストレインを拡散する機会を奪いました。しかし、Excel や Word と異なり、OneNote はマクロをサポートしていません。 攻撃調査によれば、ほとんどのフィッシングメールは、潜在的な被害者に Trojan 化された添付ファイルをダブルクリックするように促す誘導を適用しています。クリックされると、悪意のある Visual Basic スクリプトが起動し、リモートサーバーとの通信を確立して、トロイの木馬を含む他のマルウェアをインストールしようとします。公開された malspam メールは頻繁に出荷書類、請求書、図面を偽装しています。

潜在的な緩和措置として、OneNote ユーザーには多要素認証の有効化、アンチウイルス保護の使用、フィッシング攻撃を防ぐための最良のセキュリティプラクティスに従うことが推奨されます。

正当なツールを悪用するサイバー攻撃の絶え間ない増加を考えると、セキュリティプロフェッショナルは、新しい悪意のあるトリックやアプローチを先取りするために信頼できる検出コンテンツのソースを必要とします。 socprime.com を参照して、現在および新たに出現する脅威に対して Sigma ルールを検索し、検出エンジニアリングおよび脅威ハンティングのための 9,000 以上のアイデアに加え、包括的なサイバー脅威のコンテキストを参照できます。または、 オンデマンドにアップグレードして、 プレミアム Sigma ルールへのアクセスを解放し、最も関連性の高い検出を手元におくことで、脅威ハンティングの操作を数秒短縮できます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース