Posted By ATCP , 2023년 02월 20일

OneNote で拡散している Qakbot マルウェア

AhnLab ASEC は1月に Microsoft OneNote を通して配布されているマルウェア解析レポートを公開した。

Microsoft OneNote を通して配布されるマルウェア分析レポート

レポートでも言及したように、最近になって Qakbot のような商用(Commodity)マルウェアが、Microsoft Office マクロを使用していた従来の配布形式ではなく、OneNote を利用してマルウェアを実行する事例が徐々に増えている。

02月01日に OneNote を通して配布された Qakbot マルウェアの配布事例を見ると、攻撃者は[図2]のように Outlook の添付ファイル形態で OneNote マルウェアを配布していた。

[図2] Outlook メールに添付された OneNote マルウェア(ComplaintCopy_44974(Feb01).one)

ユーザーが添付ファイルを実行すると、典型的な Microsoft Office マクロマルウェアと似せて「Open」ボタンのクリックを誘導する。実際に「Open」ボタン位置の近くには HTA(HTML Application)オブジェクトが[図3]のように隠されていた。すなわち、ユーザーは「Open」をクリックしたように思うが、実際は HTA オブジェクトが実行される。

[図3] OneNote に挿入された不正な HTA オブジェクト(Open.hta)

ユーザーが「Open」ボタンをクリックすると、OneNote に添付されたオブジェクトの HTA ファイルが一時パスに生成され、HTA 拡張子の関連プログラムである mshta プロセスによって不正な HTA ファイルが最終実行される。HTA は内部に不正な VBS コードを含んでおり、Windows の正常なユーティリティである curl プログラムを通して Qakbot マルウェアをダウンロードする。最終的に rundll32.exe によって Qakbot マルウェアが実行される。

OUTLOOK.EXE -> ONENOTE.EXE -> ONENOTEM.EXE ->mshta.exe -> curl.exe -> rundll32.exe

AhnLab EDR(Endpoint Detection and Response)製品では OneNote タイプのマルウェアの脅威について振る舞い情報の記録と検知を行っている。そのため、EDR 運営担当者は EDR の履歴検索を通して、社内インフラに OneNote 関連の脅威があるかを確認することができる。

OneNote 脅威記録の確認方法：イベント→EDR 振る舞い→期間設定→EDR 脅威検索(ONENOTE.EXE)

[図5] EDR 振る舞い履歴の確認(ONENOTE.EXE が Open.hta ファイルを生成)

検知対象で確認できる Open.hta ファイルが実際の不正なスクリプトである。

以下は AhnLab EDR 解析画面で確認できる OneNote 関連の脅威情報である。

[MITRE ATT&CK 情報]

[ファイル、レジストリ、プロセス、ネットワーク関連のアーティファクト情報]

今回の OneNote マルウェアの事例は、OneNote 内部オブジェクトである HTA ファイルが実際に不正な振る舞いを実行する。そのため、EDR 運営担当者は[図6]のように脅威のファイル関連情報を確認し、HTA ファイルが生成された位置を確認することができ、この情報でファイルを集める際に活用することができる。

Qakbot マルウェアは初期侵入以降、ラテラルムーブメントを経て、最終的にランサムウェアを組織内で感染させた事例がある。そのため、初期に Qakbot 検知を検知して、被害の拡散を防ぐために優先的に感染 PC のネットワーク隔離措置を行うことを推奨する。

[EDR を利用したネットワーク隔離措置の方法]