OneTime Software
上個月發生的惡意軟體沙箱服務業者Any.Run遭到網釣攻擊事件,導致該公司遭到網釣信件攻擊的起因——攻擊者透過備份應用程式PerfectData Software竊取該公司員工電子信箱信件,數個資安研究廠商與研究人員的調查均顯示,在過去一年多來,這款應用程式已造成多起郵件資料外洩導致的攻擊,本身存在著高風險,警告用戶審慎使用這款應用程式。
Any.Run在針對該公司遭到網釣攻擊事件的報告中,指出事件的起因之一,是攻擊者透過該公司員工安裝的備份應用程式PerfectData Software,竊取該員工整個信箱的郵件,進而利用其中的聯絡人信箱帳號,向該公司所有員工發送釣魚信件,顯示PerfectData Software這款應用程式可能遭到濫用。
我們進一步追查後,發現其實早在1年前,網路安全公司Darktrace與安全分析師Damien,就已分別在2023年6月與7月通報PerfectData Software存在高風險,並已導致多起郵件外洩事故。
最早發出警告的是網路安全公司Darktrace,該公司安全分析師Dariush Onsori與Sam Lister在2023年6月的部落格文章中,表示該公司在2023年3月觀察到多個Microsoft 365帳戶使用的PerfectData Software應用程式,有被惡意使用的趨勢。該公司偵測到2起事件,攻擊者利用VPN登入用戶的Microsoft 365帳戶,然後註冊PerfectData Software應用程式,然後賦予這項應用程式存取信箱與建立收信規則權限,在其中1個事件中,Darktrace接著便偵測到攻擊者利用這個帳戶發送數千封惡意郵件,另一個事件攻擊者則沒有執行進一步可疑行動。
在文章結論中,Darktrace表示尚不清楚攻擊者註冊PerfectData Software應用程式的目的,只發現有數個網站以PerfectData Software的名義,提供電子郵件遷移與資料復原/備份工具,Darktrace未能確認這套應用程式是否為用於惡意行為的工具,但有可能被用於竊取電子信件資料,警告用戶注意這套應用程式。
稍後安全分析師Damien在其部落格文章中,進一步確認PerfectData Software可被用於洩漏信箱資料,存在著高風險。Damien的調查顯示,PerfectData Software表面上是提供電子郵件轉換與資料復原軟體的廠商,他進一步到Google用site運算子搭配perfectdatasoftware[.]com搜尋後發現,同樣在該廠商網站的網址當中,居然有一家掛著OneTime software的網站,提供郵件備份、資料復原等多種工具,細查之後,他發現perfectdatasoftware.com這個網域底下有許多子網域,可重新導引至其他公司,這是第一個疑點。
其二是OneTime software的網站提供的電子郵件信箱備份軟體,也有問題。這款軟體聲稱可以為Microsoft 365在內的多種SaaS服務提供信箱備份與轉換功能,Damien下載後,該軟體會要求使用者提供Microsoft 365登入資訊與憑證,然後便可將信箱將郵件以PST格式匯出,所以攻擊者可利用這款軟體將信箱資料洩漏到異地。
而Damien的發現,也解釋了Darktrace觀察到的攻擊事件中,攻擊者之所以註冊使用PerfectData Software,目的很可能就是利用這款軟體將用戶信箱資料洩漏出去,以便日後用於發動釣魚信件攻擊。
因而Damien警告,如果用戶在Microsoft 365環境中發現已被註冊了PerfectData Software,意味著信箱可能已經洩漏,若攻擊者擁有管理者權限,還能藉此取得整個公司或組織的所有信箱資料。Damien也提出一些因應對策,他建議不能直接刪除此應用程式,而是在Azure應用程式權限中,將其指定為惡意程式,並建議透過Azure AD/Entra ID Premium P1或P2來改善帳戶安全性。
我們在Damien部落格文章後的評註中,發現有多個評論者表示已出現PerfectData Software導致的可疑活動,最讓人困擾的是,由於Microsoft 365沒有方法查看特定Azure應用程式的詳細活動日誌,所以使用者也無法確認自身郵件是否已遭PerfectData Software匯出。
我們透過Damien的搜尋方式,同樣發現在perfectdatasoftware網域下,連結著數十個未顯示在主網頁上的其他公司網站,以及未顯示在主網頁中的產品,其中也包括Damien在OneTime Software網站上找到的郵件備份軟體。
我們進一步檢索後,發現在2023年4月到2024年1月間,在Spiceworks、微軟與reddit的社群論壇中,都有人提到因PerfectData Software而帶來的異常帳號存取事件,雖然未能確認PerfectData Software本身是否是惡意軟體,但這款軟體確實已被攻擊者利用為竊取信件資料的工具。
但儘管過去一年多來,已陸續傳出多起PerfectData Software造成的信箱洩漏事件,但這些警告與討論似乎還未得到足夠的重視,以致後續又出現同類的災情。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-05
2024-10-07
2024-10-07
2024-10-04