編譯／鄭智懷 資安業者Proofpoint警告，自2022年12月開始，越來越多駭客開始採用Microsoft …

編譯／鄭智懷

資安業者Proofpoint警告，自2022年12月開始，越來越多駭客開始採用Microsoft 365 套件中的數位筆記軟體OneNote散播惡意軟體，藉此竊取受害者的個資，甚至是入侵加密貨幣錢包。

Proofpoint指出，駭客組織TA577在去年12月開始透過電子郵件向受害者散播夾帶附有惡意軟體AsyncRAT的OneNote檔案，共有六次攻擊活動。2023年1月，其他駭客組織也開始利用相同的手法散播各式惡意軟體，譬如前述的AsyncRAT，以及Redline、AgentTesla 和 DOUBLEBACK等；攻擊活動至少超過50次。此時也出現駭客使用 URL 散播OneNote附檔的案例。

Proofpoint表示，利用OneNote散播惡意軟體的攻擊活動遍佈全球，主要集中在北美洲和歐洲。而在攻擊產業上，製造業、工業和教育業是受攻擊的重點目標。

在手法上，Proofpoint發現攻擊活動有相同的特徵。雖然郵件主旨和寄件人有所不同，但內容大多涉及發票、匯款、運輸和季節性主題（例如聖誕節禮品或獎金）。

Proofpoint提到，駭客組織TA577作為利用OneNote進行初始訪問代理（IAB）者，其促進包含勒索軟體在內的惡意軟體攻擊活動。事實上，最初的攻擊行動並未被多款防毒軟體發現，且夾帶惡意軟體的OneNote附檔也並未被其列為惡意檔案。

Proofpoint提醒，只有收件人打開並下載惡意郵件夾帶的附檔，並且忽略OneNote的警告開啟之，攻擊才會成功。Proofpoint建議，各單位應該對旗下成員展開相關教育，防範類似攻擊，並且回報可疑電子郵件和附檔。

資料來源：Proofpoint  

這篇文章 OneNote  駭客散播惡意軟體最愛媒介 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。