駭客在攻擊行動裡濫用合法雲端服務的情況，因為能夠藉由這些服務的正常流量掩蓋非法行為，使得資安系統可能不會觸發警報，這樣的手法已是經常出現，最近有資安業者表示，他們看到今年這樣的態勢出現顯示增加的情況。

資安業者賽門鐵克指出，由於攻擊者希望避免引人注目並降低維護基礎設施的成本，他們發現有越來越多駭客加入濫用雲端服務的行列，並開發更多用於這類攻擊的作案工具。研究人員在黑帽大會的議程上，公布相關調查結果。

值得留意的是，雖然研究人員表示駭客很可能會濫用微軟OneDrive或Google Drive，但在他們公布的6起惡意程式攻擊裡，有超過半數都利用OneDrive。

在這些攻擊行動裡，我們認為名為Grager的後門程式最值得留意，原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月，看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織，部署這支後門程式。

駭客究竟如何尋找攻擊目標，研究人員並未說明，但他們提及惡意檔案來自冒牌的7-Zip網站，一旦使用者依照指示進行下載、安裝MSI檔，電腦就會在部署此壓縮軟體的過程，一併將惡意程式載入工具Tonerjam植入，並用來解密、執行後門程式Grager。

而這支後門程式啟動時，會解密用戶端ID（client_id）並根據儲存體（Blob）更新存取OneDrive的憑證（Token），從而與駭客控制的OneDrive帳號連線。該後門程式能收集系統資訊，讓攻擊者能上傳、下載，或是執行檔案，並截取檔案系統的相關資料，包括磁碟容量與類型資訊。

另一個鎖定南亞媒體而來的後門程式GoGra，研究人員認為也相當值得留意，因為，駭客將微軟的郵件服務充當C2伺服器。

究竟駭客如何對後門程式下達命令？研究人員指出，此後門程式會讀取寄件人為FNU LNU的電子郵件，這些信件的主旨皆以Input開頭，而後門程式使用特定金鑰並透過密碼區塊連結（Cipher Block Chaining）模式的AES-256演算法，解密命令的內容，並透過cmd.exe執行。

當駭客交付的命令完成後，GoGra會將執行結果加密處理，並以Output為主旨的信件，回傳給前述的使用者。

而對於攻擊者的身分，研究人員指出是他們3年前揭露的國家級駭客Harvester，這些駭客主要鎖定南亞組織發動攻擊。

還有被用於攻擊美國及歐洲IT服務業者的惡意程式OneDriveTools相當特別，此為多階段執行的後門程式，攻擊過程濫用多種雲端服務。攻擊者初期先執行惡意程式下載工具，透過圖學資料分析服務Microsoft Graph的API進行身分驗證，然後從OneDrive下載第二階段酬載並執行。

接著，攻擊者從程式碼儲存庫GitHub下載OneDriveTools最終的惡意酬載，並在OneDrive與受害電腦建立特定的資料夾，讓受害電腦透過OneDrive回傳受到感染的情況，並接收駭客的命令。

值得留意的是，攻擊者為了隱匿行蹤，他們使用名為Whipweave的隧道工具，連線到稱做Orbweaver的Operational Relay Box（ORB）網路，從而混淆攻擊來源。