メインコンテンツへスキップ
インテリジェンスダイジェスト

OneNoteに刺されるのは1回の攻撃で済むかもしれません!

脅威アクターがマルウェア配信のためにMicrosoft OneNoteドキュメントを悪用

ロッドマン・ラメザニアン - グローバルクラウド脅威リード

2023年3月15日 7分で読めます

Microsoftの広範な365アプリケーションスイートの一部であるMicrosoft OneNoteは、ユーザーに強力かつ柔軟な情報管理ワークベンチを提供します。組織がクラウドへの急速な移行を続ける中、OneNoteは企業のオンプレミス、BYOD、およびエンタープライズクラウド環境間の便利なメモ作成およびタスク管理の架け橋となります。しかし、OneNoteの幅広い採用により、攻撃者はマルウェア配布の実行可能な経路としてこのアプリに注目しています。

BleepingComputer、Trustwave、Sevagasなどのセキュリティ研究により、脅威アクターがOneNoteドキュメントにファイルを埋め込み、ユーザーを騙して実行させるケースが増加していることが判明しました。驚くべきことに、OneNote内の添付ファイルがMicrosoftのネイティブなMark of the Web (MOTW) ラベリング制度の対象外であったのは2022年後半まででした。この制度は、ファイルがウェブから取得されたものであり、デフォルトでは信頼すべきではないことをWindows OS、アプリケーション、エンドユーザーに通知するように効果的に設計されています。

図1。悪意のあるMicrosoft OneNote添付ファイルのサンプル(出典:BleepingComputer)

本稿執筆時点では、このMOTWラベリングの問題はMicrosoftによって密かに修正され、.oneファイルに関連するリスクは大幅に最小化されたようですが、残念ながらリスクを完全に排除するものではありません。脅威アクターは、感染したOneNoteドキュメント内に、一見無害な添付ファイルとしてVisual Basic Script (VBS) ペイロードを含む、多種多様なファイルタイプを埋め込むことができます。ソーシャルエンジニアリングの手法を用いて、添付ファイルは請求書、機械図面、DHLの配送通知、送金フォーム、その他のビジネス向け正規コンテンツを装います。しかし、ユーザーがノートブック内の埋め込まれたマルウェアをダブルクリックするように仕向けられると、これらのファイルは悪意のあるスクリプトを起動します。

なぜこれらの侵害は発生するのでしょうか?

生産性、アクセシビリティ、コラボレーションを促進するため、組織はMicrosoft OneNoteのようなネイティブアプリケーションを採用し、従業員の業務を強化しています。

Microsoftのようなソフトウェア企業が悪意のある利用を防ぐために製品を更新すると、脅威アクターは当然ながら、より強力な効果を持つ新しい攻撃手法を開発するために焦点を移し、手口を変えます。

OneNoteを悪用したマルウェア配信攻撃は、実際には他の感染したOfficeファイルを悪用する攻撃と非常に似ています。ユーザーは文書を開き、セキュリティチェックを無効にするよう誘い込まれ、結果として悪意のあるコードが実行されます。

これらの攻撃がサイバー犯罪者にとって特に効果的なのは、標的となるユーザーが、巧妙な罠が仕掛けられた感染文書と物理的にやり取りする点です。結局のところ、悪意のある添付ファイルを開くと警告ダイアログが表示されることがあっても、ユーザーがそれを無視してしまうリスクは依然として高いのです。

例えば、攻撃者はOneNoteファイル内に、要求された文書をダウンロードするように見せかける偽のグラフィックボタン(Windowsのネイティブなクリック可能なボタンと非常によく似ています)を使用します。しかし、これをクリックすると、代わりに埋め込まれたマルウェアスクリプトが実行されます。

残念ながら、ソーシャルエンジニアリングもこれらのキャンペーンの効果に大きな役割を果たしており、被害者は引き続き誤解させられ、騙されて、加害者のための初期ペイロードと足がかりを実行させられています。

何ができるでしょうか?

常に、受信するメールやインスタントメッセージを慎重に確認することが強く推奨されます。結局のところ、Microsoft 365のようなコラボレーションプラットフォームが密接に連携しているため、このようなファイルは非常に簡単に配布されてしまいます。オンライン上の詐欺的で危険なコンテンツがマルウェアペイロードの投下を容易にする可能性があるため、ウェブブラウジング活動にも同様の警戒が必要です。

また、.oneファイル形式の添付ファイルは今日ではあまり使用されず、やや異例または疑わしいと見なされていることを考慮すると、インテリジェンスコミュニティで流通している推奨事項では、追って通知があるまで.oneファイル拡張子をブロックすることを提案しています。

最近の業界調査によると、AgentTesla、Quasar RAT、Qbot/Quakbot、DoubleBackなど、多くのマルウェアキャンペーンでOneNoteドキュメントが悪用され、マルウェアが配信されていることが示されています。

この情報を公開されているVirusTotalデータベースと照らし合わせ、これらのキャンペーンに関連するハッシュをランダムサンプリングして分析した結果、いくつかの洞察に満ちた発見が得られました。

これが示すのは、ユーザーが悪意のあるOneNote添付ファイルに感染した場合でも、Skyhigh SecurityのGateway Anti-Malware (GAM) エミュレーションおよびヒューリスティックエンジン (VirusTotalに示されているように、以前はMcAfee-GW-Editionという名前でした) が、マルウェアに感染したペイロードが攻撃者のサーバーから取得されるのを特定し、防止できたということです。

これは、ユーザーが注意せずにOneNote添付ファイルを自由にダウンロードして開くべきだということを示唆するものではありません。しかし、ユーザーが騙されてしまったという不運なケースにおいても、Skyhigh Securityの分析エンジンが、脅威アクターによるさらなる被害が発生する前に、関連する脅威を特定し、対処できるという追加の保証を提供します。

既存のSkyhigh Securityのお客様向けに、Gateway Anti-Malware (GAM) エンジンは、そのSecurity Service Edge (SSE) プラットフォーム内にネイティブに統合されており、Webおよびクラウドコンテンツを含む、より広範なユースケースとシナリオで利用できるようになっています。

組織のリスク許容度に基づいて、セキュリティチームは、必要に応じてSkyhigh SecurityのRemote Browser Isolationテクノロジーを活用してOneNoteドキュメントをオンラインでレンダリングすることもできます。これにより、OneNoteファイルがローカルデバイス自体で実行されることなく、視覚的なピクセルストリームのみがユーザーに表示されます。そうすることで、ユーザーのデバイスはドキュメントまたはその添付ファイルに含まれるあらゆる脅威から効果的に保護されます。

しかし、常に言えることですが、最善の策は、信頼できる送信元からのメッセージや添付ファイルのみを開くことで、警戒を怠らず、システムとユーザーを保護することです。


参考文献:
VirusTotalサンプル分析 – AgentTesla、QuakBot、Quasar RATキャンペーン
https://www.virustotal.com/
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Skyhigh Security をご利用ですか?

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

グローバルクラウド脅威リード

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • MicrosoftがダウンロードされたMS Officeドキュメントのマクロを無効にしたことで、ハッカーは標的システムでコードを実行する機会が減少しました。フィッシングメールのOneNote添付ファイルは、新しい攻撃ベクトルとしてますます普及しています。
  • OneNoteドキュメントは脅威アクターにとって強力なツールとなります。なぜなら、最近までMicrosoftのMark-of-the-Web (MOTW) 保護の恩恵を受けておらず、OneNoteノートブックにファイルを添付し、ユーザーへの警告がほとんどないまま実行することを許可していたからです。
  • ほとんどのMicrosoft Office/365展開ではMicrosoft OneNoteがデフォルトでインストールされているため、Windowsユーザーがそのアプリケーションを使用していなくても、そのファイル形式を開くことは可能です。
  • 実行されると、埋め込まれたスクリプトはホストシステム上でコマンドを実行し、初期のリモートアクセス用に攻撃者の感染ファイルをダウンロードします。
  • その後、ユーザーには期待されるドキュメントのように見えるおとりのファイルが表示されます。しかし、バックグラウンドでは、悪意のあるバッチファイルがデバイスにマルウェアペイロードをインストールします。