【安全资讯】微软365账户遭遇OAuth钓鱼攻击浪潮，多类威胁组织参与

概要：

近期，网络安全领域出现一波针对Microsoft 365账户的新型钓鱼攻击浪潮，其利用OAuth设备代码授权机制，无需窃取凭证即可绕过多因素认证（MFA），对全球企业构成严重威胁。Proofpoint等安全公司警告，此类攻击自2025年9月以来显著增加，涉及金融动机的黑客组织及疑似国家背景的威胁行为体，攻击手法隐蔽且影响广泛。

主要内容：

此次攻击的核心在于滥用OAuth设备代码授权流程。攻击者通过钓鱼邮件诱导受害者访问其控制的网站，并诱骗受害者在微软官方的设备登录页面输入一个设备代码。该代码实则为授权攻击者控制的应用访问受害者账户的凭证。整个过程无需窃取密码，也绕过了MFA保护，使得攻击极具隐蔽性。

Proofpoint的研究揭示了攻击中使用的两种钓鱼工具包：SquarePhish和Graphish。SquarePhish本是一款公开的红队工具，通过模拟微软MFA二维码流程实施攻击；而Graphish则是地下论坛流传的恶意工具包，支持OAuth滥用和中间人攻击，进一步降低了攻击门槛。

攻击活动呈现多样化。Proofpoint报告了三种主要攻击活动：一是以“薪资奖金”为诱饵，使用仿冒公司品牌文档的钓鱼活动；二是由已知的金融犯罪组织TA2723发起的攻击，该组织此前以仿冒OneDrive等知名服务进行大规模凭证钓鱼而闻名；三是自2025年9月以来，疑似与俄罗斯有关联的威胁组织UNK_AcademicFlare发起的攻击，主要针对欧美地区的政府、学术、智库及交通运输部门。

这些攻击的成功，关键在于利用了用户对微软官方登录页面的信任，以及OAuth授权流程中用户可能忽略的权限授予细节。攻击不仅导致目标账户被完全接管，还可能引发后续的数据泄露、横向移动等更严重的后果。Proofpoint建议组织尽可能使用Microsoft Entra条件访问策略，并加强对登录来源的监控，以应对此类威胁。