行業新聞與部落格

已發現濫用微軟 OAuth 裝置程式碼授權流程的網路釣魚活動激增，多個威脅叢集利用該技術未經授權訪問 Microsoft 365 帳戶。

根據 Proofpoint 今天釋出的一份新報告，國家支援的和以經濟利益為目的的行動者都在利用社會工程手段誘騙使用者批准惡意應用程式，從而實現賬戶接管、資料竊取和進一步的損害。

這些攻擊依賴於 OAuth 2.0 裝置授權許可，這是一個合法的過程，旨在幫助使用者在輸入功能有限的裝置上登入。

一旦受害者在微軟的可信驗證頁面上輸入由攻擊者控制的應用程式生成的裝置程式碼，攻擊者即可獲得有效的訪問令牌。該令牌隨後可用於控制被入侵的 M365 帳戶。

二維碼、嵌入式按鈕和超連結

雖然裝置程式碼釣魚不是一種新技術，但 Proofpoint 觀察到，到 2025 年 9 月，這種技術的使用量急劇增加。

研究人員注意到，一些攻擊活動異常廣泛，這些活動利用二維碼、嵌入式按鈕或超連結文字來發起攻擊。誘餌通常聲稱涉及文件共享、令牌重新授權或安全驗證。

12 月 8 日發現的一項攻擊活動使用了名為“薪資獎金 + 僱主福利報告 25”的虛假共享文件。受害者會收到來自攻擊者控制地址的電子信箱，並被引導至與其組織品牌相匹配的本地化網站。

隨後，使用者被提示在微軟的裝置登入頁面上輸入程式碼，無意中授予了其帳戶訪問許可權。

Proofpoint 將這些攻擊活動的增長歸因於現成的網路釣魚工具，這些工具簡化了裝置程式碼濫用。其中兩款工具尤為突出：

• SquarePhish2 是一個更新版的網路釣魚框架，它使用二維碼並自動執行 OAuth 裝置授權流程。

• Graphish 是一款在經過稽核的駭客論壇上分享的免費釣魚工具包，支援中間人攻擊和基於 OAuth 的授權濫用。

這兩款工具都設計得易於使用，對技術技能的要求不高，因此可供各種威脅行為者使用。

金融和州協調活動

Proofpoint 表示，一名以經濟利益為目的的攻擊者（網名為 TA2723）於 2025 年 10 月開始使用裝置程式碼網路釣魚，偽造工資單和共享檔案來引誘受害者。

該公司還觀察到一些與國家有關聯的活動，特別是來自俄羅斯的行動者，他們採用這種技術，作為向無密碼網路釣魚的更廣泛轉變的一部分。

一個名為 UNK_AcademicFlare 的疑似與俄羅斯有關聯的組織，利用被盜用的電子信箱帳戶和偽造的 OneDrive 連結，針對美國和歐洲的政府、學術界和交通運輸部門，實施裝置程式碼網路釣魚工作流程。

據 Proofpoint 稱，這些攻擊活動的蔓延表明，威脅行為者會多麼迅速地將合法的身份驗證功能用於惡意目的。

該公司表示，各組織應加強 OAuth 控制，並培訓使用者不要輸入從不受信任的來源收到的裝置程式碼。

“Proofpoint 評估認為，隨著符合 FIDO 標準的 MFA 控制措施的普及，OAuth 身份驗證流程的濫用現象將繼續增長。”