黑客在攻击行动里滥用合法云端服务的情况，因为能够借由这些服务的正常流量掩盖非法行为，使得资安系统可能不会触发警报，这样的手法已是经常出现，最近有资安业者表示，他们看到今年这样的态势出现显示增加的情况。

资安业者赛门铁克指出，由于攻击者希望避免引人注目并降低维护基础设施的成本，他们发现有越来越多黑客加入滥用云端服务的行列，并开发更多用于这类攻击的作案工具，并出现过往较为罕见的手法。研究人员在黑帽大会的议程上，公布相关调查结果。

值得留意的是，虽然研究人员表示黑客很可能会滥用微软OneDrive或Google Drive，但在他们公布的6起恶意程序攻击里，有超过半数都利用OneDrive，甚至有搭配图学数据分析服务Microsoft Graph API、代码存储库GitHub的情况。

在这些攻击行动里，我们认为名为Grager的后门程序最值得留意，原因是这起资安事故的攻击目标涵盖台湾。研究人员在今年4月，看到中国黑客组织UNC5330针对台湾、香港、越南的企业组织，部署这支后门程序。

黑客究竟如何寻找攻击目标，研究人员并未说明，但他们提及恶意文件来自冒牌的7-Zip网站，一旦用户依照指示进行下载、安装MSI档，电脑就会在部署此压缩软件的过程，一并将恶意程序加载工具Tonerjam植入，并用来解密、运行后门程序Grager。

而这支后门程序启动时，会解密用户端ID（client_id）并根据存储体（Blob）更新存取OneDrive的凭证（Token），从而与黑客控制的OneDrive帐号连接。该后门程序能收集系统信息，让攻击者能上传、下载，或是运行文件，并截取文件系统的相关数据，包括磁盘容量与类型信息。

另一个锁定南亚媒体而来的后门程序GoGra，研究人员认为也相当值得留意，因为，黑客将微软的邮件服务充当C2服务器。

究竟黑客如何对后门程序下达命令？研究人员指出，此后门程序会读取寄件人为FNU LNU的电子邮件，这些信件的主旨皆以Input开头，而后门程序使用特定密钥并通过密码区块链接（Cipher Block Chaining）模式的AES-256算法，解密命令的内容，并通过cmd.exe运行。

当黑客交付的命令完成后，GoGra会将运行结果加密处理，并以Output为主旨的信件，回传给前述的用户。

而对于攻击者的身分，研究人员指出是他们3年前揭露的国家级黑客Harvester，这些黑客主要锁定南亚组织发动攻击。

还有被用于攻击美国及欧洲IT服务业者的恶意程序OneDriveTools相当特别，此为多阶段运行的后门程序，攻击过程滥用多种云端服务。攻击者初期先运行恶意程序下载工具，通过Microsoft Graph的API进行身分验证，然后从OneDrive下载第二阶段酬载并运行。

接着，攻击者从GitHub下载OneDriveTools最终的恶意酬载，并在OneDrive与受害电脑创建特定的文件夹，让受害电脑通过OneDrive回传受到感染的情况，并接收黑客的命令。

值得留意的是，攻击者为了隐匿行踪，他们使用名为Whipweave的隧道工具，连接到称做Orbweaver的Operational Relay Box（ORB）网络，从而混淆攻击来源。