【高级威胁追踪】OneNote文档传播AsyncRAT远控木马

2023-02-07 7,545

前言

从2022年12月到2023年1月31日,攻击者使用 OneNote 附带文件的邮件攻击活动数量显着增加,传播的相关恶意软件有Redline、AgentTesla、Quasar RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等

OneNote是Microsoft创建的数字笔记本,可通过Microsoft 365产品套件获得,攻击者使用OneNote主要是为了绕过威胁检测,自从Microsoft在2022年后开始默认阻止宏之后,攻击者已经尝试使用多个新的策略、技术和程序(TTP),包括使用以前不常观察到的文件类型,例如虚拟硬盘(VHD)、编译的HTML(CHM)等,使用OneNote算是攻击者使用的一种新的TTP攻击技术,可以预测使用OneNote文件的恶意攻击活动在2023年会越来越流行,同时黑客组织也会不断研究新的TTP技术进行攻击,黑客组织与安全研究人员的安全对抗一直在升级,深信服高级威胁团队通过外部渠道捕获到相关的样本,并对其中的一个案例进行了深入的分析。 

分析

1.从外部渠道捕获到的攻击样本,如下所示:

2.邮件中使用了一个附带 OneNote 文档,下载OneNote文档之后,使用解析工具对 OneNote 文档进行解包之后,如下所示:


OneNote文档格式,可以参考链接

https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-onestore/405b958b-4cb7-4bac-81cc-ce0184249670

解析脚本,可以参考链接:

https://blog.didierstevens.com/2023/01/22/analyzing-malicious-onenote-documents/


3.OneNoteAttachments 文件夹下存在一个混淆的 update.bat 恶意脚本,如下所示:


4.对里面的代码去混淆之后,得到一段代码,如下所示:


5.该代码会对 update.bat 脚本中的部分数据进行Base64+AES 解密并加载执行,解密后的数据为一个 PE恶意,如下所示:


6.对解密后的数据进行动态分析,会再次解密出里面的 payload 代码并调用执行,如下所示:

7.分析解密后的 payload 代码,发现是 AsyncRAT 远控木马,如下所示:

黑客远程服务器地址为:95.216.102.32

IOCs

HASH

E78B26D7034394FD775493CFA552E3A3

000AA2353C74B13057A73ACBA***ADEC


IP

95.216.102.32

总结

深信服高级威胁团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,并成功帮助客户应急响应处置过多个APT及网络犯罪威胁组织攻击事件,未来逐着安全对抗的不断升级,黑客组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。


参考链接:

https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/195468.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号