공격자들이 Microsoft OneNote 첨부파일을 악용하여 자격 증명을 탈취하고 맬웨어를 확산시킵니다

Microsoft 문서가 피싱 공격의 표적이 되었으며, 적들은 악성 스트레인을 전파할 새로운 방법을 지속적으로 찾고 있습니다. Microsoft 제품의 보안 취약점은 사이버 위협 영역에서 빈번히 소동을 일으키며, 많은 사용자에게 영향을 미칩니다. 이것은 Follina 제로데이 결함 및 CVE-2022-22005.

보안 연구자들은 최근 사이버 공격에서 해커들이 Microsoft OneNote 첨부 파일을 피싱 이메일의 유인책으로 활용하여 악성코드를 설치하고 사용자의 민감한 데이터에 대한 무단 접근을 얻고 있다고 글로벌 사이버 방어 공동체에 알립니다.

OneNote 첨부 파일을 악용한 사이버 공격 탐지

사이버 방어자들은 신규 위협과 적대적 전술, 기법, 절차(TTP)에 대해 선제적으로 방어하기 위해 신속하게 대응하려고 노력하고 있습니다. 위협 행위자들이 지속적으로 새로운 공격 벡터와 트릭을 사용하여 악성코드를 퍼뜨리는 반면, 선제적 사이버 방어 관행을 구현함으로써 조직은 위협을 보다 효율적으로 완화할 수 있습니다.

SOC Prime Platform은 피싱 이메일에 관련된 OneNote 첨부 파일의 감염을 즉시 식별할 수 있도록 하기 위해 시그마 규칙을 모아 보안 엔지니어를 지원합니다. 모든 탐지 콘텐츠는 25개 이상의 SIEM, EDR, BDP 및 XDR 솔루션과 호환되며, MITRE ATT&CK® 프레임워크 v12.

아래의 Explore Detections 버튼을 눌러 관련 탐지 콘텐츠의 전체 리스트에 접근할 수 있으며, 폭넓은 메타데이터 및 CTI 참조와 함께 제공됩니다.

Explore Detections

Microsoft OneNote 악용: 공격 분석

Microsoft Office 2019 및 Microsoft 365 패키지에 포함된 널리 사용되는 데스크톱 디지털 도구인 Microsoft OneNote 애플리케이션은 현재 공격자에 의해 악용되어 피싱 기반 악성코드 공격을 시작하고 있습니다.

감염 체인은 유인 첨부 파일을 클릭하여 시작되며, 이는 스크립트를 실행하고 원격 웹사이트에서 악성코드를 설치합니다. Trustwave SpiderLabs의 연구원들은 악성 활동을 관찰해왔으며 2022년 12월 중순부터 OneNote 첨부 파일을 악용하고 있으며, 이 취약점에 대한 첫 번째 경고는 Perception Point Attack Trends의 트윗에서 나왔습니다. 사이버 보안 연구원들에 따르면, 피싱 이메일을 통해 배포된 악성코드는 malicious spam (malspam) OneNote 첨부 파일 을 포함하고 있으며 이는 암호화폐 지갑을 목표로 하는 자격 증명을 탈취하고 다른 악성코드 샘플들을 배포할 수 있습니다.

Microsoft는 더 이상 Office 파일에 매크로를 적용하지 않아 해커들이 Excel 및 Word 문서를 악용하여 악성 스트레인을 퍼뜨릴 수 없도록 하고 있습니다. 하지만 Excel 및 Word와 달리 OneNote는 매크로를 지원하지 않습니다. 공격 조사는 대부분의 피싱 이메일이 트로이 목마화된 첨부 파일을 두 번 클릭하도록 유인한다는 것을 보여줍니다. 클릭 시 악성 Visual Basic 스크립트가 실행되며 원격 서버와 통신을 수립하고 트로이 목마 세트를 포함하여 다른 악성코드를 설치하려고 시도합니다. 공개된 멀스팸 이메일은 종종 선적 문서, 송장 및 도면을 사칭합니다.

잠재적인 완화 조치로서, OneNote 사용자들은 다중 인증을 활성화하고, 안티바이러스 보호를 사용하며, 피싱 공격을 방지하기 위한 최고의 보안 관행을 따를 것을 권장합니다.

정당한 도구를 악용하는 사이버 공격의 양이 꾸준히 늘어남에 따라, 전 세계 수천 명의 사용자가 사용하는 사이버 보안 전문가들은 새로운 악성 트릭과 접근법보다 앞서 나가야 하기 때문에 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. socprime.com 에서 현재 및 신규 위협에 대한 시그마 규칙을 검색하세요. 탐지 엔지니어링 및 위협 사냥을 위한 9,000개 이상의 아이디어와 함께 포괄적인 사이버 위협 컨텍스트를 포함합니다. 또는 On Demand로 업그레이드 하여 프리미엄 시그마 규칙에 대한 액세스를 잠금 해제하고 가장 관련성 높은 탐지를 손에 넣어 위협 사냥 작업에서 초를 절약하세요.