Qakbot 实现恶意 OneNote 笔记本的分发 媒体

Qakbot 利用 OneNote 文件扩大恶意软体攻击

重要要点

自年初以来，我们持续追踪利用一种不常被滥用的 Office 文件格式的恶意软体威胁行为者OneNote 应用程式的 one 文件。其他一些安全公司也注意到了这一趋势。

我们对这一威胁向量的初步观察显示了一些小规模的恶意软体攻击，但现在一个更为突出的恶意软体团体Qakbot，已开始在其活动中更自动化、精简地使用这一方法。

这个恶意的 OneNote “文档” 是一个单页文档，看起来是这样的。

在我们之前对 Qakbot 的研究中指出，威胁行为者通常使用电子邮件作为他们的初步攻击向量。该机器人网络能够“注入”恶意电子邮件进入现有的对话线中，劫持之前被感染机器上的电子邮件帐户，对所有相关方以恶意附件或连结进行回复。

攻击如何开始

Qakbot 在 1 月 31 日开始在其攻击中使用 OneNote one 文档在 Microsoft 中也称为 “笔记本”。在星期二，我们观察到了两次平行的垃圾邮件活动：一种是恶意电子邮件嵌入一个连结，促使收件人下载被武器化的 one 文件。这种垃圾邮件版本中，收件人的姓氏在邮件主题行中重复出现，但内容则相对冷漠。

包含 OneNote 文档的 Qakbot 传送的垃圾邮件，内嵌了一个连结。

另一种则涉及所谓的“消息串注入”，现有交流的参与者收到一封“回复所有”看似由感染电脑的用户发送的邮件，邮件中附上了一个恶意的 OneNote 笔记本。

这些邮件的主题可以涉及感染计算机的电子邮件收件箱中的任何内容。然而，这些邮件很容易被识别，因为所有附件的名称都是 ApplicationReject#####(Jan31)one 或 ComplaintCopy#####(Feb01)one其中 ##### 是随机的五位数字。

一封带有 OneNote 附件的 Qakbot 传送的垃圾邮件。

在测试中，只有发送包含 Windows 计算机的 UserAgent 字符串的浏览器能够成功获得武器化的 one 笔记本。所有其他 UserAgent 字符串则会从主机中获得 404 错误。

我们通过在常见的 Windows 浏览器Chrome、Firefox、Edge和其他平台的浏览器Mac/iOS、Linux 和 Android之间交替 UserAgent 字符串进行测试，发现只有带有 Windows UserAgent 字符串的请求能成功。对相同的 URL 每次请求都会获得一个独特的样本。

![](https//newssophoscom/wpcontent/uploads/2023/02/image