文章总结： 多个威胁者利用OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者诱骗用户在官方登录页面输入设备代码，无需窃取凭证即可获取访问权限。此类攻击自9月大幅增长，涉及TA2723及国家关联组织，常用SquarePhish和Graphish工具。建议企业启用MicrosoftEntra条件访问策略进行防御。 综合评分： 88 文章分类： 威胁情报,社会工程学,漏洞预警,办公安全,WEB安全

新一轮OAuth钓鱼攻击来袭：微软365账户成攻击目标

胡金鱼

嘶吼专业版

2025年12月24日 14:00 北京

最新发现，多个威胁者正借助OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年9月以来，此类攻击的数量大幅增长，发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软365账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况“极为反常”。

攻击工具与活动详情

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish是一款公开可用的红队工具，通过二维码针对OAuth设备授权流程发起攻击，仿冒微软MFA/TOTP的合法配置流程。

Graphish是在地下论坛传播的恶意钓鱼工具包，支持OAuth权限滥用、Azure应用注册，以及中间人攻击。

针对监测到的攻击活动，研究人员在报告中重点提及三类：

1.薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成“安全认证”，实则为攻击者控制的应用完成授权。

攻击中使用的授权页面

2.TA2723攻击活动：TA2723是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击，今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具，后续攻击浪潮则可能转向Graphish钓鱼工具包。

TA2723的OneDrive仿冒攻击

3.国家关联攻击活动：自2025年9月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号UNK_AcademicFlare），正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒OneDrive的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

针对前期无害互动发起的恶意邮件

为拦截此类攻击，安全研究员建议企业尽可能启用Microsoft Entra条件访问，并考虑制定登录来源相关的安全策略。

参考及来源：https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《新一轮OAuth钓鱼攻击来袭：微软365账户成攻击目标》