[보안뉴스] OneNote 파일 첨부한 원격제어 악성코드 이메일로 유포

https://www.boannews.com/media/view.asp?idx=113510

OneNote 파일 첨부한 원격제어 악성코드 이메일로 유포

최신 멀웨어 트랜드를 업무를 통해 종종 접하게 되는데, OneNote를 이용한 피싱 공격은 처음인 것 같다. CTI 미팅을 하면서 발표된 내용을 놓쳤을지는 모르겠지만, 내 기억으로는 처음이다.


일단, VirusTotal에서 아래 검색어로 찾아보면, 대부분 Invoice로 위장한 파일이 검색된다.

name:"*.one" p:10+

최초 신고된 파일은 대략 22년 11월부터로 보이고, 새로운 공격 유형으로 보인다.

문서를 잘 안보이게 이미지를 넣거나 폰트를 깨지도록 해서 사용자의 클릭을 유도하고, 파일의 내부에 숨겨진 스크립트를 통해 멀웨어 다운로드하여 실행되는 방식인데, 이런 방식은 이미 MS Office에서 많이 이용되던 방식이기 때문에 새로울 것은 없다.

내가 보안 엔지니어로서 중요하다고 느끼는 점은 [ 공격자가 왜 이 파일 타입을 선택했는가 ] 이다.
과연 보안 솔루션이 탐지를 할 수 있을까?

우선, Mime Type으로는 일반 데이터로 취급된다.

Magic : data

E-mail, Network 보안 솔루션이 OneNote에 대한 파일타입 체크가 제대로 지원되지 않는다면, 일반 데이터로 분류해서 By-pass될 가능성이 높다. Static-analysis를 통해 스크립트가 탐지되면 모르겠지만, 스크립트 변형이 얼마든지 가능하고, 정상 사용이 되는 경우도 있으니, 함부로 탐지나 차단도 어렵다.

그리고, 샌드박스가 있다고 하더라도 보통 오피스 문서는 프로그램하고 연결하여, 뷰어를 실행해서 행위를 뽑아내지만, OneNote는 VM 내에 제대로 설치가 안되어 있거나, 성능을 위해 특정 타입들만 필터링해서 분석하고 있어서, 미탐되고 By-pass 될 가능성이 높다.

보안뉴스의 기사에는 OneNote가 깔린 사용자만 영향이 있을 것이라고 했지만, 요즘 운영체제들은 Store를 통해 Viewer 앱을 추천해주기 때문에 안전하다고 볼 수 없다. (맥은 .one 확장자에 대해 정확히 추천하진 않음)

.one 검색 시 OneNote 추천

내 생각엔 해커들이 보안 솔루션 우회를 위해 OneNote 파일을 이용하고 있는 것 같다.
아마도 OneNote는 그냥 시작일 뿐이고, 이런 유사한 앱들을 발굴해서 공격에 확용되는 사례가 늘어나지 않을까?


(참고) OneNote 구조

format : https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-one/73d22548-a613-4350-8c23-07d15576be50