从2022年12月到2023年1月31日，攻击者使用 OneNote 附带文件的邮件攻击活动数量显着增加，传播的相关恶意软件有Redline、AgentTesla、Quasar RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等。

OneNote是Microsoft创建的数字笔记本，可通过Microsoft 365产品套件获得，攻击者使用OneNote主要是为了绕过威胁检测，自从Microsoft在2022年后开始默认阻止宏之后，攻击者已经尝试使用多个新的策略、技术和程序(TTP)，包括使用以前不常观察到的文件类型，例如虚拟硬盘(VHD)、编译的HTML(CHM)等，使用OneNote算是攻击者使用的一种新的TTP攻击技术，可以预测使用OneNote文件的恶意攻击活动在2023年会越来越流行，同时黑客组织也会不断研究新的TTP技术进行攻击，黑客组织与安全研究人员的安全对抗一直在升级，深信服高级威胁团队通过外部渠道捕获到相关的样本，并对其中的一个案例进行了深入的分析。 

1.从外部渠道捕获到的攻击样本，如下所示：

2.邮件中使用了一个附带 OneNote 文档，下载OneNote文档之后，使用解析工具对 OneNote 文档进行解包之后，如下所示：

OneNote文档格式，可以参考链接：

https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-onestore/405b958b-4cb7-4bac-81cc-ce0184249670

解析脚本，可以参考链接：

https://blog.didierstevens.com/2023/01/22/analyzing-malicious-onenote-documents/

3.OneNoteAttachments 文件夹下存在一个混淆的 update.bat 恶意脚本，如下所示：

4.对里面的代码去混淆之后，得到一段代码，如下所示：

5.该代码会对 update.bat 脚本中的部分数据进行Base64+AES 解密并加载执行，解密后的数据为一个 PE恶意，如下所示：

6.对解密后的数据进行动态分析，会再次解密出里面的 payload 代码并调用执行，如下所示：

7.分析解密后的 payload 代码，发现是 AsyncRAT 远控木马，如下所示：

黑客远程服务器地址为：95.216.102.32

HASH

E78B26D7034394FD775493CFA552E3A3

000AA2353C74B13057A73ACBA***ADEC

IP

95.216.102.32

深信服高级威胁团队专注全球高级威胁事件的跟踪与分析，拥有一套完善的自动化分析溯源系统以及外部威胁监控系统，能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联，同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像，并成功帮助客户应急响应处置过多个APT及网络犯罪威胁组织攻击事件，未来逐着安全对抗的不断升级，黑客组织会研究和使用更多新型的TTP，深信服高级威胁团队会持续监控，并对全球发现的新型安全事件进行深入分析与研究。

参考链接：

https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware