멀웨어를 제공하는 데 점점 더 많이 사용되는 OneNote 문서 | Proofpoint 관련 IOC 111개 발견

IOC:
ftp://ftp.mgcpakistan.com/
http://hxxp:3.101.39.145/TPAEROSPACE.one
http://hxxp:3.101.39.145/Excel.exe
http://hxxps:stnicholaschurch.ca/Invoice.one
http://hxxps:stnicholaschurch.ca/Cardlock_341121.bat
http://direct-trojan.com
http://hxxps:files.catbox.moe/rltrtq.bat
http://209.126.83.213
http://hxxp:3.101.39.145/Excel.exe
http://hxxp:3.101.39.145/TPAEROSPACE.one
http://hxxp:54.151.95.132/Access.one
http://hxxp:54.151.95.132/ExcelSheel.vbs
http://hxxps:www.onenotegem.com/uploads/soft/one-templates/four-quadrant.one
http://hxxps:transfer.sh/get/TScdAm/AsyncClient.bat
http://209.126.83.213
http://hxxp:www.onenotegem.com/uploads/soft/one-templates/the_daily_schedule.one
http://hxxps:depotejarat.ir/voicemail.bat
http://hxxps:zaminkaran.ir/new.png
http://hxxps:www.onenotegem.com/uploads/soft/one-templates/the_daily_schedule.one
http://hxxps:transfer.sh/get/Pcj58k/AsyncClient.bat
http://154.12.234.207
http://newtryex.ddns.net
http://hxxps:onenotegem.com/uploads/soft/one-templates/weekly_assignments.one
http://hxxps:transfer.sh/rMitxs/Invoice212.bat
http://45.133.174.122
http://154.12.234.207
http://hxxps:stnicholaschurch.ca/DCyaz.bat
http://winery.nsupdate.info
http://hxxps:www.onenotegem.com/uploads/soft/one-templates/notes_to_do_list.one
http://hxxps:transfer.sh/get/5dLEvB/sky.bat
http://154.12.250.38
http://hxxps:stnicholaschurch.ca/Cardlock_341121.bat
http://hxxps:stnicholaschurch.ca/xw.bat
http://su1d.nerdpol.ovh
http://hxxps:transfer.sh/get/7msVcM/FRESHME.bat
http://hxxps:transfer.sh/IGu2K2/INV.bat
http://newtryex.ddns.net
http://hxxps:direct-trojan.com/file/b685b9/New%20Section%201.one
http://hxxps:direct-trojan.com/file/05df70/remlog.bat
http://172.245.45.213
http://hxxps:direct-trojan.com/file/3c6f73/software-update.exe
ftp://ftp.mgcpakistan.com/
http://hxxp:198.23.172.90/new.exe
http://hxxp:198.23.172.90/template.one
http://212.193.30.230:3345
http://hxxp:179.43.187.241/Downloads/Newsharedfilesnow.pdf.lnk
http://hxxps:transfer.sh/get/UaTsxp/Newsharedfilesnow.hta
http://109.107.179.248:80
http://plax.duckdns.org
http://212.193.30.230
http://hxxp:198.23.172.90/templa.one
http://hxxp:198.23.172.90/comment.exe
http://209.126.2.34
http://hxxps:transfer.sh/get/p29ViK/tpee.bat
http://hxxps:files.catbox.moe/nvz0g1.ps1
http://95.216.102.32
http://ghcc.duckdns.org
http://hxxps:barricks.org/admin10/client.php
http://hxxp:kanaskanas.com/fw435tv345t.ps1
http://codezian.com/Nt57/300123.gif
http://myvigyan.com/m1YPt/300123.gif
3.101.39.145
3.101.39.145
209.126.83.213
3.101.39.145
3.101.39.145
54.151.95.132
54.151.95.132
209.126.83.213
154.12.234.207
45.133.174.122
154.12.234.207
154.12.250.38
172.245.45.213
198.23.172.90
198.23.172.90
212.193.30.230
179.43.187.241
109.107.179.248
212.193.30.230
198.23.172.90
198.23.172.90
209.126.2.34
95.216.102.32
e5a33b42b71f8ac1a5371888d11a0066b49a7f0c25fe74857fa07fb0c9bdff27
43f4eaefc6e71f8d30b2e3749475af51ce4d6740546706113cc4785b4410a14c
6a1bac8fbb30f4b98da7f7ac190fb971bf91d15b41748bc63fd9cbddb96ef189
2283c3be89eb6cbf0e1579a6e398a5d1f81a50793fcca22fbc6cbdab53dc2d31
75819879049e80de6376f146430e63a53fc4291d21f3db930ea872b82d07c77a
73dc35d1fa8d1e3147a5fe6056e01f89847441ec46175ba60b24a56b7fbdf2f9
8276104d8d47def986063b8fbafd82ad5f4cd23862ff9ede1231cefb35115a1b
e2b70c8552b38a6b8722d614254202c346190c6a187984a4450223eb536aaf4b
ef5a7fc0c2a301b57f0723af97faea37374b91eb3b72d8ca6ffc09a095998bb2
66c045eb61f2e589b1e27db284c9c518e5d0e87dcff25b096eede7047f7dd207
c59f95d9c9ff830d33fb73c2a8b0ee8be6619b6823fc23210600b9fa88a8c9d4
c8e326756cc1f95ff51ffe26471df16f4131fdbca2ed14f8c8d14e21010058b9
15212428deeeabcd5b11a1b8383c654476a3ea1b19b804e4aca606fac285387f
222b1a425f75fc7998a0bbabd52277cd82bb5ec50b75f4fb67568b3b754f5406
377fe4e55b6dde063c15c41389f3bb5aacf95443874bdcc0d02a44d6bd793780
bdc52f8983b7f034e86d1628efab5faf974e8c33ea9c3bcab0fd09ca462f8322
de30f2ba2d8916db5ce398ed580714e2a8e75376f31dc346b0e3c898ee0ae4cf
a5ae1b866c5d8a7b3eb8427e686cf5d0264b809ed4491b47346542bf69caab65
a748f4e526c1a5fed7e57887ef951e451236ee3ad39cf6161d18e5c2230aca0b
adb237144a52fc610984bd5ae8501271c5eef8ff49eff0a9d02adf4a5e36ad3b
dfb8ba6c2ac264ac73f6d2c440d2c0744c043f1d8435bb798fef5380a649fc4e
e1d34ad42938a777d80f3ee4c206de14021f13ab79600168b85894fdb0867b3e
328a12fdd6b485362befb392925282451d65aa23482584a49dd5b0e126218df7
0ff4aa2eb1cd681e3b77348af935bcfc56f4b7cae48bcd826000b7ff2b82b671
0b0c70ee1612139cf7a83847cca805689aec9fbcc587a7ef8f26aa4fb9e71295
1791dd7a7c7d0688fac3626d57221ada157c57572cf9ed46ad4cab3d28dbaf91
9bf99fc32dc69f213812c3c747e8dd41fef63ad0fd0aec01a6b399aeb10a166a

요약:
결과:
Microsoft OneNote 문서를 사용하여 전자 메일을 통해 악성 프로그램을 전송하는 경우가 증가하고 있습니다.
여러 사이버 범죄 위협 행위자들이 원노트 문서를 사용하여 악성코드를 전달하고 있다.
일부 캠페인은 특정 산업을 대상으로 하지만 대부분은 광범위하게 대상이 되며 수천 개의 메시지가 포함됩니다.
페이로드를 폭발시키려면 최종 사용자가 OneNote 문서와 상호 작용해야 합니다. 
캠페인은 북미와 유럽을 포함한 전 세계 조직에 영향을 미쳤다.
TA577은 한 달간의 활동 중단에서 돌아와 2023년 1월 말에 원노트를 사용하여 큐봇을 전달하기 시작했다.
개요
Proofpoint 연구원들은 최근 2022년 12월과 2023년 1월에 의심하지 않는 최종 사용자에게 이메일을 통해 악성코드를 전달하기 위해 OneNote 문서를 사용하는 위협 행위자의 증가를 확인했습니다. 원노트(OneNote)는 마이크로소프트가 개발한 디지털 노트북으로, 마이크로소프트 365 제품군을 통해 사용할 수 있다. Proofpoint는 위협 행위자가 .1 확장자인 OneNote 문서를 통해 전자 메일 첨부 파일 및 URL을 통해 멀웨어를 전달하는 것을 관찰했습니다.
프루프포인트는 2022년 12월 원노트 첨부 파일을 사용하여 비동기 RAT 멀웨어를 전달하는 6개의 캠페인을 관찰했다. 2023년 1월, 프루프포인트는 50개 이상의 OneNote 캠페인이 비동기식 RAT, 레드라인, 에이전트테슬라, DOUBLACK을 포함한 다양한 악성 프로그램 페이로드를 제공하는 것을 관찰했다. 특히, 초기 액세스 브로커 TA577은 2023년 1월 말에 원노트 문서를 사용하여 Q봇을 제공하기 시작했다. 캠페인에는 캠페인에 따라 대상과 볼륨이 다른 복수의 발신자와 주체가 포함됐다.
맬웨어를 전달하기 위해 OneNote를 사용하는 캠페인의 수가 증가했지만, 그 사용은 이례적입니다. 과거 위협 캠페인의 관찰된 특성을 바탕으로 위협 행위자들은 위협 탐지를 우회하기 위해 다양한 부착 유형을 사용한 실험의 결과로 OneNote를 점점 더 많이 채택한 것으로 생각된다. 마이크로소프트가 2022년에 매크로를 기본적으로 차단하기 시작한 이래로 위협 행위자들은 많은 새로운 전술을 실험해 왔다...

Open New Windows

멀웨어를 제공하는 데 점점 더 많이 사용되는 OneNote 문서 | Proofpoint:
https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware