Qakbot 利用 OneNote 文件扩大恶意软体攻击
重要要点
- 恶意攻击趋势 :Qakbot 利用 .one 文件(OneNote 应用程式的格式)进行攻击,这是一种之前不常见的文件格式。
- 攻击方法 :恶意电子邮件中嵌入 OneNote 文档,诱使用户下载。
- 保护措施 :Sophos 已针对新策略提供多层次的防护。
自年初以来,我们持续追踪利用一种不常被滥用的 Office 文件格式的恶意软体威胁行为者——OneNote 应用程式的 .one
文件。其他一些【】也注意到了这一趋势。
我们对这一威胁向量的初步观察显示了一些小规模的恶意软体攻击,但现在一个更为突出的恶意软体团体——Qakbot,已开始在其活动中更自动化、精简地使用这一方法。
这个恶意的
OneNote “文档” 是一个单页文档,看起来是这样的。
在我们之前对 Qakbot的研究中指出,威胁行为者通常使用电子邮件作为他们的初步攻击向量。该机器人网络能够“注入”恶意电子邮件进入现有的对话线中,劫持之前被感染机器上的电子邮件帐户,对所有相关方以恶意附件或连结进行回复。
攻击如何开始
Qakbot 在 1 月 31 日开始在其攻击中使用 OneNote .one 文档(在 Microsoft 中也称为
“笔记本”)。在星期二,我们观察到了两次平行的垃圾邮件活动:一种是恶意电子邮件嵌入一个连结,促使收件人下载被武器化的 .one文件。这种垃圾邮件版本中,收件人的姓氏在邮件主题行中重复出现,但内容则相对冷漠。
包含 OneNote文档的 Qakbot 传送的垃圾邮件,内嵌了一个连结。
另一种则涉及所谓的“消息串注入”,现有交流的参与者收到一封“回复所有”(看似由感染电脑的用户发送)的邮件,邮件中附上了一个恶意的 OneNote 笔记本。
这些邮件的主题可以涉及感染计算机的电子邮件收件箱中的任何内容。然而,这些邮件很容易被识别,因为所有附件的名称都是
ApplicationReject_#####(Jan31).one 或 ComplaintCopy_#####(Feb01).one
(其中 ##### 是随机的五位数字)。
一封带有
OneNote 附件的 Qakbot 传送的垃圾邮件。
在测试中,只有发送包含 Windows 计算机的 User-Agent 字符串的浏览器能够成功获得武器化的 .one 笔记本。所有其他 User-Agent字符串则会从主机中获得 404 错误。
我们通过在常见的 Windows 浏览器(Chrome、Firefox、Edge)和其他平台的浏览器(Mac/iOS、Linux 和
Android)之间交替 User-Agent 字符串进行测试,发现只有带有 Windows User-Agent 字符串的请求能成功。对相同的 URL每次请求都会获得一个独特的样本。
