新一輪OAuth釣魚攻擊來襲：微軟365賬戶成攻擊目標

最新發現，多個威脅者正借助OAuth設備代碼授權機制，通過釣魚攻擊攻陷微軟365賬戶。攻擊者會誘騙受害者在微軟官方設備登錄頁面輸入設備代碼，在受害者毫無察覺的情況下，完成對攻擊者控制應用的授權，無需竊取憑證或繞過多因素認證，即可獲取目標賬戶的訪問權限。

盡管該攻擊手段并非首次出現，但自今年9月以來，此類攻擊的數量大幅增長，發起攻擊的既包括TA2723這類以牟利為目的的網絡犯罪分子，也有與國家相關聯的威脅組織。

安全研究員監測到多個威脅團伙正利用設備代碼釣魚，誘使用戶向威脅者開放微軟365賬戶的訪問權限，且此類攻擊流程被用于大規模攻擊活動的情況“極為反常”。

攻擊工具與活動詳情

黑客通過誘騙受害者在微軟官方設備登錄門戶輸入設備代碼。在部分攻擊中，設備代碼會被偽裝成一次性密碼；在另一些攻擊中，誘餌則是令牌重新授權通知。

研究人員發現攻擊中使用了兩款釣魚工具包：SquarePhish v1、v2，以及Graphish，這些工具簡化了釣魚攻擊的實施流程。

SquarePhish是一款公開可用的紅隊工具，通過二維碼針對OAuth設備授權流程發起攻擊，仿冒微軟MFA/TOTP的合法配置流程。

Graphish是在地下論壇傳播的惡意釣魚工具包，支持OAuth權限濫用、Azure應用注冊，以及中間人攻擊。

針對監測到的攻擊活動，研究人員在報告中重點提及三類：

1.薪資獎金攻擊：該攻擊活動以文檔共享為誘餌，搭配本地化的企業品牌標識，誘使收件人點擊攻擊者控制的網站鏈接。隨后受害者會被要求在微軟官方設備登錄頁面輸入指定代碼，完成“安全認證”，實則為攻擊者控制的應用完成授權。

攻擊中使用的授權頁面

2.TA2723攻擊活動：TA2723是一個從事大規模憑證釣魚的威脅組織，此前曾仿冒微軟OneDrive、LinkedIn與DocuSign發起攻擊，今年10月起開始使用OAuth設備代碼釣魚手段。該活動初期可能使用SquarePhish2工具，后續攻擊浪潮則可能轉向Graphish釣魚工具包。

TA2723的OneDrive仿冒攻擊

3.國家關聯攻擊活動：自2025年9月起，監測機構監測到一個疑似與俄羅斯相關聯的威脅組織（追蹤代號UNK_AcademicFlare），正濫用OAuth設備代碼授權機制實施賬戶接管。該組織先攻陷政府與軍方的郵箱賬戶，以此建立信任，隨后分享仿冒OneDrive的鏈接，誘導受害者進入設備代碼釣魚流程。攻擊主要針對美國與歐洲的政府、學術、智庫及交通行業機構。

針對前期無害互動發起的惡意郵件

為攔截此類攻擊，安全研究員建議企業盡可能啟用Microsoft Entra條件訪問，并考慮制定登錄來源相關的安全策略。

參考及來源：https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/