每日數(shù)百家機構遭微軟設備碼釣魚攻擊，AI全程驅動滲透全球企業(yè)

每天有數(shù)百家機構在一場以AI為核心驅動的微軟設備碼釣魚活動中遭到入侵，攻擊者幾乎在整個攻擊鏈的每個環(huán)節(jié)都引入了AI與自動化技術，最終潛伏于企業(yè)郵箱內(nèi)部，大肆竊取財務數(shù)據(jù)。

微軟安全研究副總裁Tanmay Ganacharya向The Register透露："自2026年3月15日起，我們每24小時就能觀察到10至15個獨立攻擊活動的啟動。"

他進一步說明："每個活動均以規(guī)模化方式展開，針對數(shù)百家機構投放高度多樣化且各異的攻擊載荷，這使得基于特征模式的檢測愈發(fā)困難。我們持續(xù)監(jiān)測到高頻攻擊行為，受影響環(huán)境中每日發(fā)生數(shù)百起入侵事件。"

他還表示，攻擊者跨行業(yè)、跨地域地將全球各類機構列為打擊對象。盡管本次釣魚活動目前尚未歸因于特定的黑客組織，但其使用的工具與基礎設施與"EvilTokens"存在高度相似之處。

EvilTokens是一款新型微軟設備碼釣魚工具套件，自二月中旬起以服務形式對外出售，購買者可借此繞過多因素認證（MFA），并以受害者身份悄無聲息地完成對其所在機構Microsoft 365應用的身份驗證。該套件的運營者還承諾，即將將支持范圍擴展至Gmail及Okta的釣魚頁面。

盡管此次活動似乎廣泛針對各行各業(yè)的機構，但Ganacharya指出："入侵后的活動呈現(xiàn)出一貫的規(guī)律——攻擊者重點關注財務相關角色，并在此類賬戶中實施自動化郵件竊取。"

微軟研究人員在一篇發(fā)布于周一的博文中詳細闡述了此次設備碼攻擊，并指出這"標志著威脅行為者攻擊復雜程度的重大升級"。

設備碼認證的運作機制

智能電視、打印機及其他不支持標準交互式登錄的物聯(lián)網(wǎng)設備，通常采用OAuth 2.0的設備碼認證方式。該機制會在設備上向用戶顯示一段短碼，并指引用戶在另一臺設備的瀏覽器中輸入該碼以完成認證。這為用戶提供了便捷的登錄體驗，但也帶來了一定的安全隱患。

微軟警告稱："由于認證是在另一臺設備上完成的，發(fā)起請求的會話與用戶的原始上下文之間缺乏強綁定關系。"

這使其對試圖繞過多因素認證（MFA）并劫持用戶賬戶的攻擊者極具吸引力——攻擊者只需發(fā)起設備碼認證流程，例如通過釣魚誘餌發(fā)送驗證碼，再等待用戶輸入驗證碼，即可在用戶毫不知情的情況下獲得賬戶的訪問授權。

攻擊流程詳解

在本次活動中，攻擊者查詢了GetCredentialType——一個用于確定用戶認證方式的微軟API接口，借此確認目標郵件地址是否存在于租戶中并處于活躍狀態(tài)。

這一偵察階段至關重要，通常在實際釣魚嘗試發(fā)起前10至15天進行。

隨后，攻擊者利用AI針對目標角色生成高度個性化的釣魚郵件，內(nèi)容涵蓋提案請求、發(fā)票及生產(chǎn)流程等主題。這些郵件包含惡意附件或直接URL，但攻擊者在初始郵件中并不直接鏈接至最終的釣魚頁面。

取而代之的是，他們通過被入侵的合法域名，在Railway、Cloudflare Workers、DigitalOcean及AWS Lambda等受信任的無服務器平臺上自動化部署了一系列跳轉重定向。此舉有助于釣魚郵件規(guī)避自動化URL掃描器和沙箱的檢測，同時與正常的企業(yè)云流量混為一談。

最終的釣魚頁面——攻擊者在此處真正竊取受害者憑證——偽裝成網(wǎng)頁內(nèi)嵌的合法瀏覽器窗口。頁面提示用戶點擊按鈕進行身份驗證，點擊后跳轉至"Microsoft.com/devicelogin"并展示設備碼。

動態(tài)驗證碼生成是關鍵

微軟指出，此次活動成功的"關鍵要素"在于攻擊者采用了動態(tài)設備碼生成機制，而非靜態(tài)釣魚手段。

設備碼的有效期僅為15分鐘。若在原始釣魚郵件中使用預生成的驗證碼，則留給目標用戶打開郵件、點擊多級重定向、并最終協(xié)助攻擊者繞過MFA、劫持賬戶的時間窗口極為有限。

而本次活動將驗證碼生成環(huán)節(jié)移至重定向鏈的最終階段，意味著15分鐘的倒計時直到受害者進入最終釣魚頁面才開始計時。以下是受害者看到設備碼后的完整流程：

一旦用戶完成登錄流程，實時訪問Token便被發(fā)送至攻擊者控制的計算機，從而使數(shù)據(jù)竊賊得以繞過MFA并登錄目標賬戶。

入侵后的持久化行為

據(jù)微軟介紹，入侵后的非法活動因攻擊者的具體目標而異。在部分案例中，攻擊者在10分鐘內(nèi)注冊新設備，以生成主刷新Token（PRT），實現(xiàn)長期駐留。在其他案例中，攻擊者則等待數(shù)小時后再竊取敏感郵件數(shù)據(jù)或創(chuàng)建收件箱規(guī)則——例如，轉發(fā)主題中含有"工資單"或"發(fā)票"等關鍵詞的敏感郵件。

防御建議

為避免遭受此類設備賬戶釣魚攻擊，應僅在絕對必要時才允許設備碼流程。微軟建議在可能的情況下予以封鎖。

此外，還應培訓員工識別常見釣魚手法，例如包含可疑鏈接的"[EXTERNAL]（外部）"郵件。微軟指出："自2021年起，微軟Azure在交互過程中會提示用戶確認（'取消'或'繼續(xù)'）其是否正在登錄預期應用，而這一確認選項在釣魚登錄中通常是缺失的。"

Q&A

Q1：什么是微軟設備碼釣魚攻擊？它是如何運作的？

A：微軟設備碼釣魚攻擊利用OAuth 2.0設備碼認證機制實施入侵。攻擊者向目標用戶發(fā)送包含重定向鏈接的釣魚郵件，誘導用戶進入偽造的微軟登錄頁面并輸入動態(tài)設備碼。一旦用戶完成"驗證"，攻擊者即可獲取實時訪問Token，從而繞過多因素認證（MFA），直接登錄受害者的Microsoft 365賬戶，進而竊取郵件、財務數(shù)據(jù)等敏感信息。

Q2：EvilTokens工具套件有哪些主要能力？

A：EvilTokens是一款自2026年2月中旬起以服務形式出售的微軟設備碼釣魚工具套件。它能夠幫助買家繞過多因素認證（MFA），并以受害者身份悄無聲息地完成對Microsoft 365應用的身份驗證。此外，其運營者還承諾即將擴展支持Gmail和Okta的釣魚頁面，進一步拓寬攻擊范圍。

Q3：企業(yè)如何防范微軟設備碼釣魚攻擊？

A：防范此類攻擊可從以下幾點入手：一是僅在絕對必要時允許設備碼認證流程，其余情況下予以封鎖；二是培訓員工識別釣魚手法，警惕含有可疑鏈接的外部郵件；三是關注微軟Azure的登錄確認提示，若登錄頁面缺少"取消/繼續(xù)"確認選項，應高度警惕；四是監(jiān)控賬戶異常行為，如短時間內(nèi)注冊新設備或創(chuàng)建異常收件箱轉發(fā)規(guī)則。