利用OAuth代码入侵微软365账户:绕过MFA的新型钓鱼攻击技术

本文详细分析了网络犯罪分子如何滥用微软OAuth设备授权流程,通过自动化工具如SquarePhish2和Graphish发起大规模钓鱼攻击,绕过多因素认证并获取对Microsoft 365账户的持久访问权限。

Proofpoint近日警告称,存在利用合法的设备授权流程进行网络钓鱼的活动,这些活动旨在绕过多因素身份验证(MFA)并获取对企业Microsoft 365账户的持久访问权限。

伪造的OAuth终端认证窗口与微软的合法窗口极为相似。(图片来源:Proofpoint)

网络犯罪分子和受国家支持的黑客正越来越多地利用微软合法的OAuth 2.0设备授权流程,劫持企业账户、绕过多因素身份验证(MFA)保护,并获取对企业敏感数据的持久访问权限。Proofpoint的研究人员在最新报告中观察到了这一趋势,他们追踪了多个恶意组织,这些组织既有出于经济动机,也有与国家利益相关的,它们都使用网络钓鱼技术诱使用户授权其未经授权访问其Microsoft 365账户。

自2025年9月以来,此类攻击活动显著增加。研究人员认为,这是一个重大变化,因为攻击者已从有限的针对性攻击转向大规模利用。Proofpoint威胁研究团队在博客文章中写道:“尽管这种技术本身并非全新,但值得注意的是,它正被越来越多的恶意组织使用。”这种策略是今年早些时候一些受经济利益驱动的组织所使用的技术的演进,当时他们通过类似滥用OAuth的方式,入侵了Google、Qantas和奢侈品牌等公司的Salesforce环境,影响了数百家企业。这些针对Salesforce的攻击始于2025年6月,使用了语音钓鱼(vishing)。而当前的攻击活动则放弃了电话呼叫,转而采用基于电子邮件的社交工程学手段,这使得攻击更容易扩大规模。

合法流程沦为恶意工具

这些攻击利用了OAuth设备授权流程,该流程原本是为智能电视和物联网设备等输入受限的设备进行身份验证而设计的。根据博客文章,威胁行为者会启动微软合法的设备授权流程,然后诱骗受害者输入生成的设备代码——他们将其伪装成一次性密码(OTP)——到微软的验证URL中。研究人员写道:“通常情况下,诱饵会声称设备代码是一次性密码,并提示用户在微软的验证URL上输入该代码。”“一旦用户输入了代码,原始令牌就会被验证,网络犯罪分子便可以访问目标M365账户。”成功的攻击会导致账户被接管、数据被窃取、在网络内进行横向移动,并建立对企业资源的持久访问权限。在某些情况下,被盗数据随后被用于勒索企图,正如ShinyHunters在其Salesforce攻击活动中所展示的那样。

导致攻击激增的原因是什么?是那些简化了此类攻击实施的工具的可用性。Proofpoint识别出两种主要的工具包:SquarePhish2和Graphish。SquarePhish2最初由Dell Secureworks于2022年在Github上发布,这是一个更新版本。该工具包自动化了OAuth设备授权流程,并集成了二维码功能。至于Graphish钓鱼工具包,它在经过验证的犯罪黑客论坛上分享,能够利用Azure应用注册和中间人(AITM)攻击能力,创建极具说服力的钓鱼页面。Proofpoint研究人员在博客中补充道:“该工具用户友好,不需要高级专业知识,降低了进入门槛,使得技术能力不强的恶意行为者也能发起复杂的钓鱼活动。”这些工具帮助攻击者克服了一个主要限制:通常,设备代码的生命周期有限。通过自动化,他们能够发起比以前规模更大的攻击活动。

国家背景行为体与网络犯罪分子的联手

自2025年1月以来,Proofpoint追踪了多个具有国家背景的恶意行为体滥用OAuth设备代码授权来接管账户,这是间谍技术中一个令人担忧的演变。研究人员指出:“这种技术已被与俄罗斯结盟的恶意行为体广泛使用”,并引用了安全公司Volexity之前的一份报告。Proofpoint还观察到疑似与中国相关的可疑活动以及其他未归因的间谍活动。一个被Proofpoint追踪、命名为UNK_AcademicFlare的组织,自至少2025年9月以来一直在进行设备代码钓鱼活动。

这个疑似与俄罗斯有关的网络犯罪团伙,利用属于政府和企业军事机构的被入侵电子邮件地址,针对美国和欧洲的政府、智库、高等教育和交通部门的实体。UNK_AcademicFlare通常通过看似无害的联系与受害者建立信任,然后发起设备代码钓鱼尝试。该组织使用被入侵的账户安排虚假会议或访谈,然后分享指向冒充OneDrive账户的Cloudflare Worker恶意链接。Volexity的研究人员记录了近期活动中的类似策略,其中俄罗斯行为体创建了冒充欧洲合法安全会议的虚假网站,诱使参与者授予OAuth访问权限。

受经济利益驱动的大规模攻击活动

受经济利益驱动的攻击者也加入了设备代码钓鱼的行列。Proofpoint强调了TA2723的活动,这是一个高级钓鱼行为体,以冒充微软OneDrive、LinkedIn和DocuSign的攻击活动而闻名。从2025年10月开始,TA2723组织的攻击活动使用了薪资和福利相关的主题作为诱饵。其中一次攻击使用声称包含名为“OCTOBER_SALARY_AMENDED”(十月薪资修正)和“Salary Bonus + Employer Benefits Reports 25”(薪资奖金+雇主福利报告2025)文件的电子邮件。实际上,这些邮件将收件人重定向到最终指向设备代码授权页面的URL,受害者被诱导生成并输入一次性访问代码。Proofpoint研究人员怀疑TA2723在其各种攻击活动中使用了SquarePhish2和Graphish工具。

2025年ShinyHunters的攻击活动(其源头是Salesloft聊天机器人被黑)展示了潜在的损害。在另一起与OAuth滥用相关的事件中,恶意行为者利用从Salesloft/Drift集成中窃取的OAuth令牌,访问了数百家公司的Salesforce实例。其中一些公司,如Cloudflare、Zscaler和Tenable,公开了其数据遭遇未授权访问的情况,从而触发了违规通知义务。Proofpoint建议企业创建条件访问策略(Conditional Access),以完全阻止设备代码授权流程,或为已批准的用户和IP地址范围设置白名单。研究人员警告说:“传统的网络钓鱼安全意识培训通常强调验证URL的合法性。然而,这种方法无法有效应对设备代码钓鱼,因为这种攻击要求用户在可信的微软门户上输入设备代码。”微软未就这些调查结果回复置评请求。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次