行業新聞與博客

已發現濫用微軟 OAuth 設備代碼授權流程的網絡釣魚活動激增，多個威脅集羣利用該技術未經授權訪問 Microsoft 365 帳户。

根據 Proofpoint 今天發佈的一份新報告，國家支持的和以經濟利益為目的的行動者都在利用社會工程手段誘騙用户批准惡意應用程序，從而實現賬户接管、數據竊取和進一步的損害。

這些攻擊依賴於 OAuth 2.0 設備授權許可，這是一個合法的過程，旨在幫助用户在輸入功能有限的設備上登錄。

一旦受害者在微軟的可信驗證頁面上輸入由攻擊者控制的應用程序生成的設備代碼，攻擊者即可獲得有效的訪問令牌。該令牌隨後可用於控制被入侵的 M365 帳户。

二維碼、嵌入式按鈕和超鏈接

雖然設備代碼釣魚不是一種新技術，但 Proofpoint 觀察到，到 2025 年 9 月，這種技術的使用量急劇增加。

研究人員注意到，一些攻擊活動異常廣泛，這些活動利用二維碼、嵌入式按鈕或超鏈接文本來發起攻擊。誘餌通常聲稱涉及文檔共享、令牌重新授權或安全驗證。

12 月 8 日發現的一項攻擊活動使用了名為“薪資獎金 + 僱主福利報告 25”的虛假共享文檔。受害者會收到來自攻擊者控制地址的電郵，並被引導至與其組織品牌相匹配的本地化網站。

隨後，用户被提示在微軟的設備登錄頁面上輸入代碼，無意中授予了其帳户訪問權限。

Proofpoint 將這些攻擊活動的增長歸因於現成的網絡釣魚工具，這些工具簡化了設備代碼濫用。其中兩款工具尤為突出：

• SquarePhish2 是一個更新版的網絡釣魚框架，它使用二維碼並自動執行 OAuth 設備授權流程。

• Graphish 是一款在經過審核的黑客論壇上分享的免費釣魚工具包，支持中間人攻擊和基於 OAuth 的授權濫用。

這兩款工具都設計得易於使用，對技術技能的要求不高，因此可供各種威脅行為者使用。

金融和州協調活動

Proofpoint 表示，一名以經濟利益為目的的攻擊者（網名為 TA2723）於 2025 年 10 月開始使用設備代碼網絡釣魚，偽造工資單和共享文件來引誘受害者。

該公司還觀察到一些與國家有關聯的活動，特別是來自俄羅斯的行動者，他們採用這種技術，作為向無密碼網絡釣魚的更廣泛轉變的一部分。

一個名為 UNK_AcademicFlare 的疑似與俄羅斯有關聯的組織，利用被盜用的電郵帳户和偽造的 OneDrive 鏈接，針對美國和歐洲的政府、學術界和交通運輸部門，實施設備代碼網絡釣魚工作流程。

據 Proofpoint 稱，這些攻擊活動的蔓延表明，威脅行為者會多麼迅速地將合法的身份驗證功能用於惡意目的。

該公司表示，各組織應加強 OAuth 控制，並培訓用户不要輸入從不受信任的來源收到的設備代碼。

“Proofpoint 評估認為，隨着符合 FIDO 標準的 MFA 控制措施的普及，OAuth 身份驗證流程的濫用現象將繼續增長。”