关键发现

• 威胁行为者通过伪造微软OAuth应用程序冒充企业实施凭证窃取
• 这些攻击活动能够绕过多因素认证(MFA)防护
• 部分伪装应用针对特定行业使用的软件进行定制化仿冒

概述

Proofpoint发现一系列利用微软OAuth应用创建和重定向机制的攻击活动，诱导用户访问恶意URL实施凭证钓鱼。这些伪造的Microsoft 365应用冒充了包括RingCentral、SharePoint、Adobe和DocuSign在内的多家企业。该活动最早于2025年初被发现，目前仍在持续。

攻击活动的主要目标是使用OAuth应用作为诱导门户，通过MFA钓鱼获取Microsoft 365账户访问权限。攻击者主要使用Tycoon等中间人钓鱼工具包，此类活动可能用于信息收集、横向移动、后续恶意软件安装或从受陷账户发起更多钓鱼攻击。

Proofpoint在邮件活动中观察到50多个被冒充的应用，以及使用此攻击链的多种钓鱼工具包。Proofpoint已向微软报告了这些恶意应用。

值得注意的是，微软在2025年6月宣布更新Microsoft 365默认设置，“阻止传统身份验证协议并要求第三方应用访问需管理员同意”。这一更新将对整体安全态势产生积极影响。

攻击活动详情

在观察到的邮件活动中，攻击者通常使用受陷邮箱账户发送包含报价请求或商业合同协议主题的邮件。这些活动通常包含数千条消息，影响数百名客户。

ILSMart伪装案例

在2025年3月观察到的活动中，攻击者冒充ILSMart（航空航天和国防公司的库存定位服务），使用报价请求作为诱导主题。邮件包含的URL会跳转到名为"iLSMART"的微软OAuth应用页面，该应用请求以下权限：

• 查看您的基本资料
• 维护对已授权数据的访问权限

即使用户点击"取消"或"接受"，都会被重定向到验证码页面，随后跳转到伪造的Microsoft认证页面。该页面展示用户组织的Entra ID品牌标识，旨在窃取凭证和拦截双因子认证令牌。

应用配置：

1

$Config={"sAppName":"iLSMART","sAppWebsite":"chrnobinson[.]com","arrAppReplyUrls":["https[:]//azureapplicationregistration[.]pages[.]dev/redirectapp"],"sAppCreatedDate":"3/17/2025","arrScopes":[{"label":"View your basic profile","description":"Allows the app to see your basic profile (e[.]g., name, picture, user name, email address)","adminLabel":"View users\u0026#39; basic profile","adminDescription":"Allows the app to see your users\u0026#39; basic profile (e[.]g., name, picture, user name, email address)"},{"label":"Maintain access to data you have given it access to","description":"Allows the app to see and update the data you gave it access to, even when you are not currently using the app. This does not give the app any additional permissions.","adminLabel":"Maintain access to data you have given it access to","adminDescription":"Allows the app to see and update the data you gave it access to, even when users are not currently using the app. This does not give the app any additional permissions."}]

Adobe伪装案例

2025年6月，Proofpoint观察到冒充Adobe的活动。邮件通过SendGrid发送，包含重定向到微软Azure上OAuth"重定向器应用"的URL。无论用户点击"取消"还是"接受"，攻击流程都相同，最终都会重定向到伪造的Microsoft认证页面。

应用配置：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

Client_id: 854189f9-4c71-44bb-9880-dd0c2f75922a
Scope: openid+email+profile
Redirect_uri: hxxps://chikeukohandco[.]com/saas/Index.html
Response_type: id_token
State: 01812921
Response_mode: fragment
Nonce: 300430
Uaid: ca41e736dd134b5cada2ad17881ea542
Msproxy: 1

Tenant: common
Ui_locales: en-US
Signup: 1
Lw: 1
Fl: easi2

云租户影响

基于Proofpoint对云租户基础设施的可见性，2025年初研究人员发现了20多个具有相似特征的恶意应用。这些应用在回复URL上具有一致模式，通常请求良性的OAuth范围。

伪装和意图

在识别的所有应用中，有4个应用冒充Adobe，5个冒充DocuSign，其余应用具有不同的无关名称。尽管命名不同，但这些应用的目标相同：获取用户授权或触发取消流程将受害者重定向到钓鱼页面。

范围和传播

这些应用获得了20多个不同租户中超过24个用户的授权。但仅在5个案例中发现实际账户接管证据，这表明：

• 这些恶意应用主要充当钓鱼诱饵
• 由于权限范围狭窄，除非用户在钓鱼页面提交凭证，否则应用本身无法危害账户

ATO案例分析

在一个集群中，4个用户受到伪造"Adobe"应用的影响，回复URL为：hxxps[:]//workspacesteamworkspace[.]myclickfunnels[.]com/offices--af295。所有这些案例中，初始ATO活动都使用用户代理字符串"axios/1.7.9"，指向可能使用的Tycoon钓鱼工具包。

额外事件：OneDrive-2025应用

在另一个案例中，一名用户受到"OneDrive-2025"应用的影响，回复URL为：hxxps[:]//cleansbeauty[.]com/lost/apc.html。观察到类似的用户代理字符串"axios/1.8.2"。

登录后，研究人员观察到MFA操作，特别是"安全方法添加"操作，可能表明攻击者试图在受陷账户中获取持久性。

Axios用户代理与Tycoon钓鱼工具包的关联

本报告中记录的活动仅代表Tycoon活动的一小部分。许多威胁行为者使用Tycoon，因为它是一个广泛可用的钓鱼即服务平台。

Proofpoint研究人员正在跟踪与Tycoon框架相关的多个活动集群进行的持续账户接管活动。该框架旨在实时拦截凭证和会话cookie，有效绕过MFA。

根据Proofpoint研究，Tycoon针对Microsoft 365的操作（通过其使用Axios HTTP客户端识别）在危害企业账户方面仍然有效。

2025年至今，Proofpoint已观察到近3,000个用户账户的尝试性账户入侵，涉及900多个Microsoft 365环境，确认成功率超过50%。

2025年4月下旬，Proofpoint研究人员发现该活动的操作基础设施发生转变。被滥用的美国数据中心托管服务似乎取代了之前使用的俄罗斯代理服务。

结论

威胁行为者正在创建日益创新的攻击链，试图绕过检测并获取对全球组织的访问权限。Proofpoint预计威胁行为者将越来越多地针对用户身份，AiTM凭证钓鱼正在成为犯罪行业标准。

以下是帮助组织防御高级混合威胁的方法：

• 邮件安全：阻止和监控针对用户的恶意邮件威胁
• 云安全：识别云环境中的账户接管和未经授权的敏感资源访问
• 网页安全：隔离由邮件中嵌入链接发起的潜在恶意会话
• 安全意识：教育用户在使用Microsoft 365时注意这些风险
• FIDO：考虑采用基于FIDO的物理安全密钥

入侵指标