Масштабная атака "QakNote" использует вредоносные файлы .one в качестве нового вектора заражения
Qakbot Trojan
С начала года Sophos отслеживает рост числа угроз, связанных с вредоносным ПО, использующим (ранее) редко используемый формат файлов Office - файлы .one, используемые приложением OneNote. То же самое сделали и некоторые другие компании, занимающиеся вопросами безопасности.
Наше первоначальное исследование этого вектора угроз выявило ряд мелких атак, но теперь более известная группа вредоносных программ - Qakbot - начала использовать этот метод в своих кампаниях в гораздо более автоматизированном и упорядоченном виде.
Qakbot начал использовать документы OneNote .one (также называемые Microsoft "блокнотами") в своих атаках 31 января. Во вторник Sophos наблюдали две параллельные спам-кампании: В одной из них вредоносные письма содержат ссылку, по которой получателю предлагается загрузить файл .one. В этих версиях вредоносного спама фамилия получателя повторяется в теме письма, но в остальном сообщения довольно безличны.
Другой способ связан с так называемыми "инъекциями потока сообщений", когда участники существующей переписки получают ответное сообщение (якобы от пользователя зараженного компьютера) с прикрепленным вредоносным блокнотом OneNote.
Тематика этих сообщений может быть самой разнообразной - все, что окажется в почтовом ящике зараженного компьютера. Но, несмотря на это, их было легко найти, поскольку все вложения были названы либо ApplicationReject_#####(Jan31).one, либо ComplaintCopy_#####(Feb01).one (где ##### - случайное пятизначное число).
В ходе тестов только браузеры, передающие в запросе строку User-Agent Windows-компьютера, получают вредоносный блокнот .one. Все остальные строки User-Agent получают ответ 404 от сервера, на котором размещен вредоносный файл .one.
Sophos провели тестирование, чередуя строки User-Agent обычных браузеров Windows (Chrome, Firefox, Edge) и User-Agent браузеров других платформ (Mac/iOS, Linux и Android). Срабатывали только запросы, отправленные со строкой User-Agent для Windows. Каждый запрос к одному и тому же URL доставлял уникальный образец.
Вектор электронной почты в стороне, все документы OneNote в данном случае содержат статичное изображение, которое предлагает пользователю нажать кнопку в ответ на текст, гласящий: "Этот документ содержит вложения из облака, чтобы получить их, дважды нажмите "открыть"". Если пользователь наводит указатель мыши на кнопку "Открыть", появляется всплывающая подсказка, привлекающая внимание к встроенному в документ HTML-приложению с именем attachment.hta.
Indicators of Compromise
IPv4 Port Combinations
- 86.194.156.14:2222
URLs
- https://a1revenue.co.uk/SQ.php?TSI=5
- https://babarbrotherscargo.com/RO.php?NI=1
- https://gpshelpline.com/EAUD.php?NSII=10
- https://isoatte.com/LOTV.php?NTUEDRSE=8
- https://limpiotucompu.com/OSIQ.php?ELIEAOSMT=1
- https://news.sophos.com/en-us/qakbot-onenote-attacks/
- https://rjll.org.pk/TUEI.php?CUM=3
- https://smartvizx.com/UE.php?AISESCTISEBTUN=4
SHA256
- 000fb3799a741d80156c512c792ce09b9c4fbd8db108d63f3fdb0194c122e2a1
- 0256bc29d8edfb94257bb15bed55f5f15782669f5ec5f769ae60e9dfe5ce41cd
- 03d97ac98243b0c540096e1d7a051282a628d4dd52e4549b84745e7a0edde1f1
- 05ecc97361f221bb72cb0a2ce81d86e35e71d48f3f7414791a5deb3fdcdeb54e
- 06d8fecfe490deccbbd8be08c8b6cd698b7780cbddc834e2f6d7166de593e178
- 07d9ac25687f656a63a34450f99d2acb5dbc6a26c4b16d345c2a84e90fc74e31
- 09024cba380dec7cf6efb2e7618707d7a06124f67a318330e0ec1256036d337a
- 0e97cc533aae179df2a7861efced8f61526b076eaace4d2cd8fa4481f92a5a50
- 1e87f5a1cf8e2ac506e1ae033dec18481922006e2108e0c58c41e80440f66aa9
- 22d7a504d97fc537a5b7b9147bbcfa2f3b36694fa527ad8dc4d0686e73666dbd
- 2611431961f939c9f902ce5acf79049b2d57cf2be02290cfd4e9572a16bd9a59
- 274a2d924d1522182717de20cb7d8da4a2576bb1383ea75ffbda6de51f544407
- 2877feb0d1926393593fc0cb2d06e3260d0c99167f65f66a89a0ab4340d790a3
- 288f0b94a68d36328ce888cc9d79fe0647d158b1abf05fea4498f5dfd998cf4e
- 30fb6eba4b45dbe3d0152a3acdfa0ef75f0359da93f42ab271e53c3529e986cf
- 31c48ac6cfaeea3d2748d6fa6bbe6cd33c3fbb250fb36eb56add7615296ab3ab
- 31d09e5ee6f26929ea2536540f46d7029da161c05eac64696ff7e2012c767651
- 3405d96828961101c846478f467eddef4b1e68a63f3ff5d8da94c4727246ada6
- 3454d51502b337287a41b8aa2f23dae9e8f4172c1abec96612e07595d68d5f80
- 35c42b80924ee3d759949d8e3ae0c10ce7d81a0af62a3d8aa21fbdb5b9a6088f
- 365c7d25fdfdca7fc1b8ce716088bf4a7a3abadc26bb6fb37718cfcc71a91943
- 3b1f1a65c0d80cfe4c4fab345f881236570456f482c18c53ef9307d1f4acf348
- 4004720112dc8674cd74df274175cf87476ca2e57075a29ea4745a8debd30aac
- 4345756cb32cc708d128a93b6ab3dcd798ed142bef2e2ee34d4f31dd736479d6
- 4d44e6442084731d6cda87db9be8f956c0e7ef123280b3f189c0f2598b8a303d
- 4d50c882cac3b291776580717013ff2c23e440627c11f03277c57bdc2bee7413
- 51ddd9ff9415c9c4c32e6e66ea7f4e04c4719d1ffb06ddfd3f8783a814649947
- 53093d049e00e699f3280ec5af937d24c3bf0d1f57c33950fd6ac6d65cf8ccc8
- 575dad22318098a878414af36a8301f9f00905161279b086fe2de71165c67d3d
- 59597ec253a7eaaebaac7b43d367a7733d1a0788bb8038f08dff37984e99ea32
- 63ea310921ebc1c56aad91c2e2616552d865458353687ea3da7652856d249892
- 6539445b4f4a4a40e0e167d251fd860be86deb7e9e8c448dece531ababa4ffe2
- 65c660552dd2b8a37db09db9bc1bab6896faeb5f1d1ae957d78f0b726040e229
- 6971674c8510c812ef6a432182e57eb08979163888a4080d016d5441b4dc28e7
- 69d6e2fa7cee4f4f8f01f65076994d88c61060181be2528f0805d6e60f9c162e
- 69fa53c561b1a2222f98934cf3d62dfbb1f73746377eeee9d9483651f2bb1792
- 6a4b9112f07b29b16c0595a80501d0ef6beaa33f3a94469c8a18ec492c3435c9
- 6b5da0160f8671b31e670c3edb510efd52f87d25ce11c33ebe83e0958eda15da
- 6b9b89534534ec07c07cc529db6b898e8269cd777fd33f71b8fd726fcbae810e
- 6f9ecbfcd92004c3cf46da37bd9780e6436ae6284714edf5b79f68742a193b8b
- 740f9e6c9c8b705b45d0c039ef0f44a624efa3cc90b3b77b2db9bc523c62b208
- 8275e09bbf0319910ca6959f0103b4ffcb8ac272cc0f453502a4f08e4fb081fe
- 84930549a3c9846c91f56b8ca2f659091af767db6bda15dffb7cc0cbfdec838c
- 92f798fde2f625d82ed3979f187794e612509fc155134c4b480e4a01a994e176
- 96bf5df3d7ea29f4d2b689a245750d955b294d5d3cf122d8dc87becf973d7a34
- 9bd74243aee04e952cd0fcaf5018d11040e105c13992f5b9a403a72abdfb8e24
- a2fac0bf9f6d0b745a9befd868cf9ca76ed2e18faa890645a2b136f79b3b31cf
- a745f74930f731d9b6c302b3cd6ff6dd32e91f7972d64a637cb80cf70903136b
- aa00299f52e9ed2521a1a67bf1e6544ff487995d37c1a96b593ddbf17895d5c5
- aeab890831897ba6eb42ed208d5105fc091c57ed50101952072ff3a6b261c807
- b1bf687bcf269dfc1b55d620bf4a8303daece5699efee864c4aae69568cb34df
- b36443057aae33ade1d3a48560ffb70faa597e8cd81d3d0c7017baa59533f0e2
- b3adc8a0056a4e205e726250b28a1d86665f7668d6cb731306d92de5ba5ed4d7
- b670a54368b9653d05d56d13272ecc0eb3307380a76e4cd4a6e527b01ea15aee
- b9c1a95277ba29da9d21f315ef8131f3c931940d2773ff2d96d8b133bffbab49
- bad5291477abb19820880327ae5da5f4c3db259489f10344f50961c8b4f55768
- bd0cd4d3829bf118c2a5b5aa8fbdd7958bc29f1619ceffb5a2d812d8eb8a361e
- c33493847022de5ef821116c2d655673270233b788584403403e4da33afe8c60
- c879e3a6c2551c4a81cc535564d55a450dc8172ca8f8c83bb63207f5965a5ea4
- cc18715cb037185a7373de7ff6ae9ecbf16be33492c3042e62d74c25fe355e0e
- ccc45c678a6f5185428bd39ad6d2dc9759e553dc1043c94fa8f9375575661eeb
- ccde2fdf3f4cc63491b5506074b865b5f2a3674f8e07e1de47512ee0f4c27b16
- cd0bc455ad9d3d590e1305029b1fd3cd986202608cba6279c7898075a6fa93ec
- ce88f14ba30ea395dfdeb1c8bebed3ad167e024c1b001f57d8b8540000463e9b
- d13a15c096a44fcd41ab005a2dc6dcbb0e66f7273177b56bcf19601e4c209db6
- dbddb135f4e968bef79bb8b44b96a4f836a9445fa88109ed1f815d87586032f8
- dbde0ddeb49e9a8600e8728dcded741a39446099144bbc14ec13926e98e19b92
- dfb66fb210ae7a4f0beaedc74cea53072c082687fce9f2ac1de9cb9c04c6514a
- e88a561ff38ee6b190d7240933aab916dfff6493a4541d6913b2d22456b71864
- e93a79b0e10f59ee89f01f6ad827716234f61f37252cb8a86ad19a1d2a50d7e8
- ef609ae7ef5d32d18bdecac1ed59fcce6ce766e27fe0b9e3a8f208b8e2d0c8ba
- f11ce4ab3b92e20d460a3e1e8d5eeb865e77ab6a02b3fd55274ebabe024242e9
- f3fb246e22973c86effe482dca610b9371c56304c50acfe09bb4773b1d360505
- f8c25e5193dd9e2b95294bc6bfce155470d9c768fb34729c438a42c8aa3ae804
- f91e4762a62ad71fce898545e7d473b6ac775467891ddca5bd9bec22da23d80c
- fb369dec42ba00766a7101558ad1f3fd425171da5c7fdd348bed0d739fb0f1ad