OneTime Software
上个月发生的恶意软件沙箱服务业者Any.Run遭到网钓攻击事件,导致该公司遭到网钓信件攻击的起因——攻击者通过备份应用程序PerfectData Software窃取该公司员工电子信箱信件,数个资安研究厂商与研究人员的调查均显示,在过去一年多来,这款应用程序已造成多起邮件数据外泄导致的攻击,本身存在着高风险,警告用户审慎使用这款应用程序。
Any.Runy在针对该公司遭到网钓攻击事件的报告中,指出事件的起因之一,是攻击者通过该公司员工安装的备份应用程序PerfectData Software,窃取该员工整个信箱的邮件,进而利用其中的联系人信箱帐号,向该公司所有员工发送钓鱼信件,显示PerfectData Software这款应用程序可能遭到滥用。
我们进一步追查后,发现其实早在1年前,网络安全公司Darktrace与安全分析师Damien,就已分别在2023年6月与7月通报PerfectData Software存在高风险,并已导致多起邮件外泄事故。
最早发出警告的是网络安全公司Darktrace,该公司安全分析师Dariush Onsori与Sam Lister在2023年6月的博客文章中,表示该公司在2023年3月观察到多个Microsoft 365帐户使用的PerfectData Software应用程序,有被恶意使用的趋势。该公司侦测到2起事件,攻击者利用VPN登录用户的Microsoft 365帐户,然后注册PerfectData Software应用程序,然后赋予这项应用程序存取信箱与创建收信规则权限,在其中1个事件中,Darktrace接着便侦测到攻击者利用这个帐户发送数千封恶意邮件,另一个事件攻击者则没有运行进一步可疑行动。
在文章结论中,Darktrace表示尚不清楚攻击者注册PerfectData Software应用程序的目的,只发现有数个网站以PerfectData Software的名义提供电子邮件迁移与数据复原/备份工具,Darktrace未能确认这套应用程序是否是恶意行为的工具,但有可能被用于窃取电子信件数据,警告用户注意这套应用程序。
稍后安全分析师Damien在其博客文章中,进一步确认PerfectData Software可被用于泄漏信箱数据,存在着高风险。Damien的调查显示,PerfectData Software表面上是提供电子邮件转换与数据复原软件的厂商,进一步搜索后发现该厂商网站重新导向的相关网站中,一家OneTime software网站中提供的电子邮件信箱备份软件,正是问题所在。这款软件声称可以为Microsoft 365在内的多种SaaS服务提供信箱备份与转换功能,Damien下载后,该软件会要求用户提供Microsoft 365登录信息与凭证,然后便可将信箱将邮件以PST格式导出,所以攻击者可利用这款软件将信箱数据泄漏到异地。
而Damien的发现,也解释了Darktrace观察到的攻击事件中,攻击者之所以注册使用PerfectData Software,目的很可能就是利用这款软件将用户信箱数据泄漏出去,以便日后用于发动钓鱼信件攻击。
因而Damien警告,如果用户在Microsoft 365环境中发现已被注册了PerfectData Software,意味着信箱可能已经泄漏,若攻击者拥有管理者权限,还能借此取得整个公司或组织的所有信箱数据。Damien也提出一些因应对策,他建议不能直接删除此应用程序,而是在Azure应用程序权限中,将其指定为恶意程序,并建议通过Azure AD/Entra ID Premium P1或P2来改善帐户安全性。
我们在Damien博客文章后的评注中,发现有多个评论者表示已出现PerfectData Software导致的可疑活动,最让人困扰的是,由于没有方法查看特定Azure应用程序的活动日志,所以用户也无法确认自身邮件是否已遭PerfectData Software导出。
我们进一步检索后,发现在2023年4月到2024年1月间,在Spiceworks、微软与reddit的社群论坛中,都有人提到因PerfectData Software而带来的异常帐号存取事件,显示这款软件被攻击者利用为窃取信件数据的工具,我们现在也还能在OneTime Software网站上,找到这款软件。
但尽管过去一年多来,已陆续传出多起PerfectData Software造成的信箱泄漏事件,但这些警告与讨论似乎还未得到足够的重视,以致后续又出现同类的灾情。



2024-07-05
