从2022年12月到2023年1月31日，攻击者使用 OneNote 附带文件的邮件攻击活动数量显着增加，传播的相关恶意软件有Redline、AgentTesla、Quasar RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等。

OneNote是Microsoft创建的数字笔记本，可通过Microsoft 365产品套件获得，攻击者使用OneNote主要是为了绕过威胁检测，自从Microsoft在2022年后开始默认阻止宏之后，攻击者已经尝试使用多个新的策略、技术和程序(TTP)，包括使用以前不常观察到的文件类型，例如虚拟硬盘(VHD)、编译的HTML(CHM)等，使用OneNote算是攻击者使用的一种新的TTP攻击技术，可以预测使用OneNote文件的恶意攻击活动在2023年会越来越流行，同时黑客组织也会不断研究新的TTP技术进行攻击，黑客组织与安全研究人员的安全对抗一直在升级，深信服高级威胁团队通过外部渠道捕获到相关的样本，并对其中的一个案例进行了深入的分析。

3.OneNoteAttachments 文件夹下存在一个混淆的 update.bat 恶意脚本，如下所示：

4.对里面的代码去混淆之后，得到一段代码，如下所示：

5.该代码会对 update.bat 脚本中的部分数据进行Base64+AES 解密并加载执行，解密后的数据为一个 PE恶意，如下所示：

6.对解密后的数据进行动态分析，会再次解密出里面的 payload 代码并调用执行，如下所示：

黑客远程服务器地址为：95.216.102.32

HASH

E78B26D7034394FD775493CFA552E3A3

000AA2353C74B13057A73ACBA***ADEC

IP

95.216.102.32