OneNote 文件原本很少被滥用，但最近攻击者开始青睐该类文件。最初只是一些小规模的恶意软件攻击，后来 Qakbot 也加入进来。

示例 OneNote 文件

此前的 Qakbot 经常使用电子邮件作为最初的攻击向量，对各种恶意邮件技巧都十分熟稔。

攻击源起

Qakbot 于 1 月 31 日开始在其攻击中使用 OneNote 文件。攻击者在电子邮件中嵌入恶意链接，提示用户下载武器化的文件。

恶意邮件

也有电子邮件中使用“消息线程注入”的方式，将恶意 OneNote 文件作为回复发送给电子邮件的通信人。相关主题多种多样，例如 ApplicationReject_#####(Jan31).one与 ComplaintCopy_#####(Feb01).one。

恶意邮件

只有带有 Windows 计算机的 User-Agent 的浏览器才能请求获得恶意 OneNote 文件，其他请求只能得到 404 响应码。相同 URL 的不同请求都会传送不同的样本文件：

样本文件

ZIP 文件中包含恶意的 OneNote 文件：

OneNote 文件

恶意 OneNote 文件中包含一个图片，提示用户点击按钮打开来自云的附件。用户将鼠标指针悬停在按钮上，会出现提示注意文档中嵌入的、名为 attachment.hta 的文件。

嵌入的 HTA 文件

如何武器化

点击按钮即可执行嵌入 OneNote 文档中的 HTA 代码，后者从远程服务器下载 Qakbot 样本并执行。

不同 HTA 文件的比较

脚本的第一行是一段很长的混淆代码：

解码脚本

脚本将硬编码 URL 传递给 curl.exe 应用程序，以下载 .png 和 .gif 后缀的 DLL 文件。将其复制到 C:\ProgramData 文件夹后，使用函数启动并执行。Qakbot 恶意软件将 Payload 注入到 AtBroker.exe 中，后者为 Windows 辅助技术管理器。

进程注入

即使熟悉发件人也不要轻信文件

攻击者会经常变换使用各种格式的文件来进行攻击，这并不奇怪。打开文档时，OneNote 会弹出提示：“打开附件可能会损害您的计算机和数据。除非您信任创建该文件的人，否则不要打开”。

安全提示

但其实，发件人并没有真的发送它。即使相信发件人，也不要相信发送的邮件。请再次与发件人对此进行二次确认，确保是发件人的真实意愿。

IOC
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参考来源

Sophos