|
MicroSoft OneNote 파일을 통한 악성코드 유포 분석팀 2023.02.09 |
|
|
최근 이메일에 Microsoft OneNote 파일을 활용하여 악성코드를 유포하는 사례가 확인되고 있다. 이전에는 문서 파일을 첨부하는 방식을 주로 활용했다. 그러나 Microsoft가 2022년 7월에 Office 문서의 매크로를 실행하지 않는 것을 기본값으로 지정하면서, 문서 파일을 통한 유포가 어려워졌다. 그래서 공격자들은 문서 파일 대신, OneNote 파일을 첨부하는 새로운 악성코드 유포 방식을 고안하여 활용하고 있다.
'.one' 확장자를 가진 첨부 파일을 확인하면, 흐린 이미지 위에 더블 클릭을 유도하는 문구를 가진 이미지가 존재한다. 이미지를 더블 클릭하면 이미지 아래에 있던 스크립트 파일(tempone)이 실행된다.
실행된 스크립트를 통해 C2 서버로부터 OntNote 파일과 BAT 파일을 TEMP 폴더에 다운로드 받는다. 다운로드된 ONE 파일은 [그림 2]에서 흐리게 표시된 이미지의 선명한 버전으로, 피해자에게 정상적인 파일을 보여줌으로써 눈속임하기 위한 목적으로 사용된다. BAT 파일은 system 파일로 위장하고, 실행되면 파워셸을 활용하여 추가 페이로드를 내려받는다.
최근 QakNote라고 불리는 QBot 캠페인이 OneNote를 활용해 유포된 정황이 확인되었으며, 이외에도 다양한 악성코드들이 유포 방식으로 OneNote를 채택하고 있다. 이메일을 통해 공격이 시작되는 만큼 사용자는 이메일에 포함된 첨부 파일 확인 시 주의가 필요하다. |