导语:在部分攻击中,设备代码会被伪装成一次性密码;在另一些攻击中,诱饵则是令牌重新授权通知。
最新发现,多个威胁者正借助OAuth设备代码授权机制,通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码,在受害者毫无察觉的情况下,完成对攻击者控制应用的授权,无需窃取凭证或绕过多因素认证,即可获取目标账户的访问权限。
尽管该攻击手段并非首次出现,但自今年9月以来,此类攻击的数量大幅增长,发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子,也有与国家相关联的威胁组织。
安全研究员监测到多个威胁团伙正利用设备代码钓鱼,诱使用户向威胁者开放微软365账户的访问权限,且此类攻击流程被用于大规模攻击活动的情况“极为反常”。
攻击工具与活动详情
黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中,设备代码会被伪装成一次性密码;在另一些攻击中,诱饵则是令牌重新授权通知。
研究人员发现攻击中使用了两款钓鱼工具包:SquarePhish v1、v2,以及Graphish,这些工具简化了钓鱼攻击的实施流程。
SquarePhish是一款公开可用的红队工具,通过二维码针对OAuth设备授权流程发起攻击,仿冒微软MFA/TOTP的合法配置流程。
Graphish是在地下论坛传播的恶意钓鱼工具包,支持OAuth权限滥用、Azure应用注册,以及中间人攻击。
针对监测到的攻击活动,研究人员在报告中重点提及三类:
1.薪资奖金攻击:该攻击活动以文档共享为诱饵,搭配本地化的企业品牌标识,诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码,完成“安全认证”,实则为攻击者控制的应用完成授权。
攻击中使用的授权页面
2.TA2723攻击活动:TA2723是一个从事大规模凭证钓鱼的威胁组织,此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击,今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具,后续攻击浪潮则可能转向Graphish钓鱼工具包。
TA2723的OneDrive仿冒攻击
3.国家关联攻击活动:自2025年9月起,监测机构监测到一个疑似与俄罗斯相关联的威胁组织(追踪代号UNK_AcademicFlare),正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户,以此建立信任,随后分享仿冒OneDrive的链接,诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。
针对前期无害互动发起的恶意邮件
为拦截此类攻击,安全研究员建议企业尽可能启用Microsoft Entra条件访问,并考虑制定登录来源相关的安全策略。
文章来源自:https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/如若转载,请注明原文地址
