OneTime Software

上個月發生的惡意軟體沙箱服務業者Any.Run遭到網釣攻擊事件，導致該公司遭到網釣信件攻擊的起因——攻擊者透過備份應用程式PerfectData Software竊取該公司員工電子信箱信件，數個資安研究廠商與研究人員的調查均顯示，在過去一年多來，這款應用程式已造成多起郵件資料外洩導致的攻擊，本身存在著高風險，警告用戶審慎使用這款應用程式。

Any.Runy在針對該公司遭到網釣攻擊事件的報告中，指出事件的起因之一，是攻擊者透過該公司員工安裝的備份應用程式PerfectData Software，竊取該員工整個信箱的郵件，進而利用其中的聯絡人信箱帳號，向該公司所有員工發送釣魚信件，顯示PerfectData Software這款應用程式可能遭到濫用。

我們進一步追查後，發現其實早在1年前，網路安全公司Darktrace與安全分析師Damien，就已分別在2023年6月與7月通報PerfectData Software存在高風險，並已導致多起郵件外洩事故。

最早發出警告的是網路安全公司Darktrace，該公司安全分析師Dariush Onsori與Sam Lister在2023年6月的部落格文章中，表示該公司在2023年3月觀察到多個Microsoft 365帳戶使用的PerfectData Software應用程式，有被惡意使用的趨勢。該公司偵測到2起事件，攻擊者利用VPN登入用戶的Microsoft 365帳戶，然後註冊PerfectData Software應用程式，然後賦予這項應用程式存取信箱與建立收信規則權限，在其中1個事件中，Darktrace接著便偵測到攻擊者利用這個帳戶發送數千封惡意郵件，另一個事件攻擊者則沒有執行進一步可疑行動。

在文章結論中，Darktrace表示尚不清楚攻擊者註冊PerfectData Software應用程式的目的，只發現有數個網站以PerfectData Software的名義提供電子郵件遷移與資料復原/備份工具，Darktrace未能確認這套應用程式是否是惡意行為的工具，但有可能被用於竊取電子信件資料，警告用戶注意這套應用程式。

稍後安全分析師Damien在其部落格文章中，進一步確認PerfectData Software可被用於洩漏信箱資料，存在著高風險。Damien的調查顯示，PerfectData Software表面上是提供電子郵件轉換與資料復原軟體的廠商，進一步搜尋後發現該廠商網站重新導向的相關網站中，一家OneTime software網站中提供的電子郵件信箱備份軟體，正是問題所在。這款軟體聲稱可以為Microsoft 365在內的多種SaaS服務提供信箱備份與轉換功能，Damien下載後，該軟體會要求使用者提供Microsoft 365登入資訊與憑證，然後便可將信箱將郵件以PST格式匯出，所以攻擊者可利用這款軟體將信箱資料洩漏到異地。

而Damien的發現，也解釋了Darktrace觀察到的攻擊事件中，攻擊者之所以註冊使用PerfectData Software，目的很可能就是利用這款軟體將用戶信箱資料洩漏出去，以便日後用於發動釣魚信件攻擊。

因而Damien警告，如果用戶在Microsoft 365環境中發現已被註冊了PerfectData Software，意味著信箱可能已經洩漏，若攻擊者擁有管理者權限，還能藉此取得整個公司或組織的所有信箱資料。Damien也提出一些因應對策，他建議不能直接刪除此應用程式，而是在Azure應用程式權限中，將其指定為惡意程式，並建議透過Azure AD/Entra ID Premium P1或P2來改善帳戶安全性。

我們在Damien部落格文章後的評註中，發現有多個評論者表示已出現PerfectData Software導致的可疑活動，最讓人困擾的是，由於沒有方法檢視特定Azure應用程式的活動日誌，所以使用者也無法確認自身郵件是否已遭PerfectData Software匯出。

我們進一步檢索後，發現在2023年4月到2024年1月間，在Spiceworks、微軟與reddit的社群論壇中，都有人提到因PerfectData Software而帶來的異常帳號存取事件，顯示這款軟體被攻擊者利用為竊取信件資料的工具，我們現在也還能在OneTime Software網站上，找到這款軟體。

但儘管過去一年多來，已陸續傳出多起PerfectData Software造成的信箱洩漏事件，但這些警告與討論似乎還未得到足夠的重視，以致後續又出現同類的災情。