一名代號TheAnalyst的推特用戶發現,後門程式BazaLoader駭客將惡意ISO檔代管在微軟OneDrive上,但微軟對此卻後知後覺
文/林妍溱 | 2021-10-20發表
BazaLoader/Bazarloader過去主要藉由釣魚信件散布,研究人員發現近日後門程式BazaLoade的活動,攻擊者竟然利用微軟Office 365及OneDrive等服務來助長散播。
一個代號TheAnalyst、自稱網路安全專業人士的用戶上周發現後門程式BazaLoader的惡意活動,而追蹤之下發現駭客將惡意ISO檔代管在OneDrive上。這個ISO檔包括DLL及LNK檔,在用戶電腦上執行時,電腦上的端點防護產品可能無法偵測到。
圖片來源:TheAnalyst
該研究人員指出,BazarLoader可能引發勒索軟體,包括連醫療院所也不放過的Conti。他問微軟明知道其服務代管了數百個可能導致危害的檔案連結,而且超過3天,難道微軟對此不需負一點責任嗎?
2020年到今年初曾在微軟待過的安全專家Kevin Beaumont指出一個弔詭之處。微軟建立Bazarloader警告流程通知Google Drive,以便後者可以快速移除惡意檔案。然而當Bazarloader轉移到微軟Office平臺上,微軟卻無法將之移除。
他認為微軟若無法防止Office 365平臺被濫用來發動Conti等程式,就不應該自稱是安全領導者。他還說OneDrive遭濫用情況已經很多年,微軟必須徹底檢討這個問題。
微軟對此尚未有公開說法,不過Beaumont指出微軟已經在本周一,從數百個惡意網站中移除了3個Bazarloader下載網站。
知名服務因有眾多用戶及知名度,不但成為駭客的主要目標,一般人也會降低警戒心而擴大感染範圍。不只是OneDrive,Google Drive、Bitbucket都曾被惡意人士用來散布惡意程式。一項調查指出微軟、Google及蘋果是三個最常被用來散布釣魚信件的雲端服務。
