사이버 보안 · 2 min read · Nov 26, 2025

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들

피싱

수년 동안 위협 행위자들은 악성 Microsoft Word 및 Excel 첨부파일을 통해 이메일에서 맬웨어를 배포해왔으며, 이는 매크로를 실행하여 맬웨어를 다운로드하고 설치합니다.

이제 공격자들은 피싱 이메일에 악성 원노트 파일을 첨부하여 피해자의 컴퓨터에 원격 액세스 맬웨어를 설치하고 암호화폐 지갑, 비밀번호 등의 정보를 훔치는 방식으로 또 다른 Microsoft 앱인 Microsoft OneNote를 타겟으로 삼았습니다.

우리가 이미 알고 있듯이, 원노트는 Microsoft의 노트 작성 앱이며 Microsoft Office 및 365에 포함되어 있습니다. 이를 감안할 때, 작년 7월 Microsoft는 기본적으로 Office Excel 및 Word에서 매크로를 다시 비활성화하여 이 기술을 무용지물로 만들었습니다.

그럼에도 불구하고 공격자들은 ISO 이미지 및 비밀번호로 보호된 Zip 파일과 같은 새로운 파일 형식을 이용하기 시작했습니다! 그리고 그 위에 Windows 버그가 보안 경고를 우회하고 zip 파일 아카이브 유틸리티가 추출된 파일에 웹 마크를 전달하지 않도록 도왔습니다.

이러한 버그는 Microsoft와 7-Zip에 의해 수정되었으며, 사용자가 ISO 및 Zip 파일에서 다운로드한 파일을 열려고 할 때 무서운 보안 메시지가 표시되었습니다.

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들 1

이것은 위협 공격자들을 멈추게 하지 않았습니다. 그들은 Microsoft의 원노트에서 악성 스팸 첨부파일을 사용하는 새로운 파일 형식으로 전환했습니다.

사이버 보안 회사의 다양한 연구자들은 공격자들이 12월 중순부터 악성 원노트 첨부파일이 포함된 스팸 이메일을 배포하고 있다고 이미 경고했습니다.

🧵
➡️ 첨부된 원노트 문서가 있는 악성 스팸 메일이 배달되고 있습니다.
➡️ 원노트 첨부파일에는 클릭 시 “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT”에 위치한 내보낸 파일을 실행하는 버튼이 포함되어 있습니다. [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 2023년 1월 10일

Bleeping Computer에서 발견한 샘플에 따르면, 이러한 스팸 이메일은 DHL 배송, 송장, 배송 문서, 기계 도면 및 ACH 송금 양식을 가장했습니다.

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들 2

Microsoft OneNote는 Word나 Excel처럼 매크로를 지원하지 않지만 사용자가 노트북에 첨부파일을 삽입할 수 있도록 허용하며, 더블 클릭하면 첨부파일이 열립니다!

위협 공격자들은 사용자가 더블 클릭할 때 자동으로 스크립트를 열어 원격 사이트에서 악성 맬웨어를 다운로드하고 설치하는 VBS 첨부파일을 사용하여 이 기능을 악용하고 있습니다.

원노트 첨부파일은 단순히 파일 아이콘처럼 보이므로, 첨부자들은 첨부된 VBS 파일 위에 “파일 보려면 더블 클릭”이라는 큰 오버레이를 덮어 이를 숨깁니다.

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들 3

그 후 사용자가 클릭하여 문서 보기 바에서 벗어나려고 하면, 악성 첨부파일에는 두 개의 첨부파일이 있으며, 첨부파일의 줄이 있기 때문에 사용자가 버튼의 아무 곳이나 더블 클릭하면 첨부파일을 다운로드하게 됩니다.

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들 4

인터넷에서 다운로드한 다른 파일 경고와 마찬가지로 원노트도 실행하기 전에 사용자에게 경고하지만, 사용자는 이를 무시하고 대신 OK를 클릭하는 경향이 있습니다.

원노트 첨부파일을 악용하여 RAT 맬웨어를 퍼뜨리는 공격자들 5

사용자가 OK 버튼을 클릭하면 VBS 스크립트가 실행되어 악성 맬웨어를 다운로드하고 설치하며, 악성 VBS 파일은 원격 서버에서 두 개의 파일을 다운로드하고 실행합니다.

이러한 유인 원노트 문서의 한 예는 정상 문서처럼 보이지만, 배경에서 VBS 파일이 악성 맬웨어를 설치하는 것입니다.

사이버 보안 연구자는 원노트 첨부파일이 Async 및 Xworm 원격 액세스 맬웨어를 설치하고 있다고 언급합니다. 위협 행위자들이 배포하는 또 다른 맬웨어는 Quasar 원격 액세스입니다.

이러한 종류의 트로이 목마는 설치되면 공격자가 손상된 장치에 원격으로 접근하여 파일, 브라우저 비밀번호 등을 훔칠 수 있게 하므로, 알려지지 않은 파일을 설치하지 않는 것이 좋습니다. 이는 큰 문제를 일으킬 수 있습니다.

읽기: 사이버 범죄자들이 스마트폰 원격 제어를 위한 ‘Hook’ 안드로이드 맬웨어를 판매하고 있습니다.

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.