【高级威胁追踪】OneNote文档传播AsyncRAT远控木马
前言
从2022年12月到2023年1月31日,攻击者使用 OneNote 附带文件的邮件攻击活动数量显着增加,传播的相关恶意软件有Redline、AgentTesla、Quasar RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等。
OneNote是Microsoft创建的数字笔记本,可通过Microsoft 365产品套件获得,攻击者使用OneNote主要是为了绕过威胁检测,自从Microsoft在2022年后开始默认阻止宏之后,攻击者已经尝试使用多个新的策略、技术和程序(TTP),包括使用以前不常观察到的文件类型,例如虚拟硬盘(VHD)、编译的HTML(CHM)等,使用OneNote算是攻击者使用的一种新的TTP攻击技术,可以预测使用OneNote文件的恶意攻击活动在2023年会越来越流行,同时黑客组织也会不断研究新的TTP技术进行攻击,黑客组织与安全研究人员的安全对抗一直在升级,深信服高级威胁团队通过外部渠道捕获到相关的样本,并对其中的一个案例进行了深入的分析。
分析
1.从外部渠道捕获到的攻击样本,如下所示:
2.邮件中使用了一个附带 OneNote 文档,下载OneNote文档之后,使用解析工具对 OneNote 文档进行解包之后,如下所示:
OneNote文档格式,可以参考链接:
https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-onestore/405b958b-4cb7-4bac-81cc-ce0184249670
解析脚本,可以参考链接:
https://blog.didierstevens.com/2023/01/22/analyzing-malicious-onenote-documents/
3.OneNoteAttachments 文件夹下存在一个混淆的 update.bat 恶意脚本,如下所示:
4.对里面的代码去混淆之后,得到一段代码,如下所示:
5.该代码会对 update.bat 脚本中的部分数据进行Base64+AES 解密并加载执行,解密后的数据为一个 PE恶意,如下所示:
6.对解密后的数据进行动态分析,会再次解密出里面的 payload 代码并调用执行,如下所示:
7.分析解密后的 payload 代码,发现是 AsyncRAT 远控木马,如下所示:
黑客远程服务器地址为:95.216.102.32
IOCs
HASH
E78B26D7034394FD775493CFA552E3A3
000AA2353C74B13057A73ACBA92FADEC
IP
95.216.102.32
总结
深信服高级威胁团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,并成功帮助客户应急响应处置过多个APT及网络犯罪威胁组织攻击事件,未来逐着安全对抗的不断升级,黑客组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
参考链接:
https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware