【追上潮流】Emotet復出與時並進 OneNote寄存惡意檔案成通關捷徑
又多一個黑客集團利用Microsoft OneNote 附加文件去散播惡意軟件,新加入的集團並非新手,而是犯罪往績纍纍的 Emotet。專家指集團螫伏三個月後,再度回歸時的開局雖然不太理想,只感染到極少量企業帳戶,但經調整策略、跟隨大趨勢使用 OneNote 附件,感染率即大增。到底 Microsoft 要等到幾時先出手堵塞安全漏洞?
Emotet 黑客集團主要靠木馬軟件起家,當成功引誘企業員工打開檔案,內藏的木馬軟件就會植入電腦,除了會用於竊取企業機密資料,還會引入其他惡意軟件包括勒索軟件、殭屍網絡等。
在 2021 年,Emotet 曾被歐洲刑警利用集團自己的伺服器,暗中向受感染設備自動發送剷除指令,連根拔起整個集團,但在 2021 年末,Emotet 已開始利用 TrickBot 集團的基建重新發動攻擊,相隔四個月已取得十多萬部電腦設備控制權,其中大部分更來自亞洲地區。
由於問題也算嚴重,所以各大網絡防護軟件供應商都加強對 Emotet 的偵測。不過,Microsoft 的企業版安全平台 Microsoft Defender for Endpoint 可能出手太重,曾因設定問題導致頻頻向企業用家發出錯誤捕取 Emotet 的警報,導致 IT 管理員叫苦連天。
經過約三個月短休,Emotet 在今年 3 月恢復攻擊計劃,捕捉到活動的網絡安全研究員 abel 指出,由於集團初時仍採用在 Microsoft Word、Excel 文件中注入自動執行惡意 macro 功能的感染方法,而這種方法已被 Microsoft 封鎖,因此感染力大不如前。
不過 Emotet 已極速改變策略,轉而使用現時流行的借道 Microsoft OneNote 掛載惡意附件方式,再度成功繞過安全監測,達到不錯的感染效果。
OneNote 受黑客歡迎的原因,在於它是企業員工常用的協作工具,正如 Microsoft Word 及 Excel 之前雖然會對 marco 功能彈出安全警告,但大多數員工也會忽視授權啟用;其次是 OneNote 有較高靈活性,容許用家將包含 JavaScript、VBScript、PowerShell 等指令的編碼嵌入文件中,黑客較容易注入惡意編碼。
最後因為 OneNote 是 Microsoft 合法應用服務,因此網絡安全系統較少會對用家打開掛載附件的舉動感到可疑。綜合以上優點,自然成為黑客首選的攻擊形式。
作為業界前輩,Emotet 當然不會用普通手段,研究員說,集團還利用了 OneNote 容許用家加入頁面設計元素的特點,首先在發出的釣魚電郵頁面,放下一個打開 VBScript 附件的按鈕,然後再在上面覆蓋一層不透明的彈出式視窗,並在附件按鈕正上方位置擺放一個 View 的按鈕,誤導員工點擊閱讀,將含加密了惡意功能的 DLL 側載檔案下載及執行,從而感染電腦設備。
現階段研究員未能指出 Emotet 最終會引入哪些惡意軟件,但相信黑客會將感染電腦作為入侵公司網絡的跳板。
雖然 OneNote 成為犯案重災區,Microsoft 亦宣布會加強安全防護,但就未有承諾何時作出更新,企業 IT 管理員可手動在安全郵件閘道或郵件服務器上設立防止打開「.one」附件條款,或限制啟動 Microsoft OneNote 附件政策,不過必定對員工工作帶來麻煩的影響。
相關文章:【群情洶湧】Microsoft OneNote未受MOTW保護 可隨意附加惡意檔案