文章总结： 新型钓鱼攻击滥用Microsoft365群组与日历功能。攻击者控制伪装成内部部门的群组，借群组邮箱、恶意文档或持续触发的日历邀请窃取凭证。因依托合法基础设施，传统检测易失效。建议网关阻断groups.outlook.com通知，追踪完整攻击链，并培训员工警惕意外群组邀请。 综合评分： 83 文章分类： 社会工程学,威胁情报,安全意识,云安全

新型网络钓鱼攻击利用 Outlook 和 Microsoft 365 群组功能攻击用户

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月23日 19:12 北京

在小说阅读器读本章

去阅读

网络钓鱼攻击变得越来越复杂，攻击者不再依赖笨拙的虚假电子邮件或明显的诈骗信息。

最新发现的一项活动表明，威胁行为者如何将日常使用的 Microsoft 365 工具变成武器，并将攻击隐藏在员工最信任的工作流程中。

这不是微软软件的缺陷，而是对其合法功能的蓄意滥用，而这恰恰是它的危险之处。

此次攻击的目标是 Microsoft 365 Groups，这是一个协作功能，组织每天都使用该功能来协调团队、共享文件和管理内部更新。

通过控制一个群组并将受害者添加到该群组中，攻击者可以同时入侵用户的收件箱、日历和文件存储。

欢迎邮件看起来很简洁，群组名称也很熟悉，没有任何立即引起怀疑的地方。

Fortra 情报与研究专家 (FIRE) 团队的分析师识别并记录了这种技术，并指出它代表着从传统网络钓鱼向受信任工作流滥用的转变。

Fortra 在一份与网络安全新闻 (CSN) 分享的报告中表示，此次攻击旨在使恶意活动看起来像是例行合作。

“IT 支持”、“人力资源更新”、“财务审查”或“全体公司”等群组名称经过精心设计，旨在与内部沟通融为一体。

一旦用户进入攻击者控制的群组，后续内容就会通过群组邮箱、共享文档或日历邀请送达。

每个步骤都模拟了真实的 Microsoft 365 工作流程，而这正是用户不会发出警报的原因。一旦用户采取行动，无论是点击链接、打开文件还是响应请求，风险就会真正出现。

潜在的后果很严重，因为受害者可能面临凭证被盗、令牌被捕获、恶意软件传播、数据泄露或进一步的社会工程攻击。

由于攻击是通过微软自身的基础设施进行的，早期检测工具可能不会标记它，从而让攻击者有更多时间在不被发现的情况下在环境中移动。

新型网络钓鱼攻击滥用 Outlook 和 Microsoft 365 群组

此次攻击活动的机制简单却巧妙。攻击者创建或控制一个 Microsoft 365 群组，然后通过直接添加或邀请的方式将目标添加到该群组中。

群组名称和欢迎信息营造了一种紧迫或例行的氛围，例如工资更新、强制性培训通知或供应商行动事项。

在发出初始群组邀请后，后续的网络钓鱼内容会通过群组邮箱或共享文件发送到群组。

群组内共享的文档可能包含虚假的支持流程、指向窃取凭证页面的二维码，或者植入了宏的文件。由于这些内容是通过微软协作平台传输的，用户往往更信任它，而不是直接通过电子邮件附件接收的内容。

日历钓鱼：当日历成为诱饵

此次网络钓鱼活动之所以特别有效，是因为它使用了日历钓鱼（CalPhishing）。

攻击者一旦通过群组邀请获得访问权限，就会向受害者的 Outlook 日历发送一个恶意的 .ics 格式日历事件。该事件会持续发送提醒，即使原始邮件已被删除或错过，钓鱼攻击仍会持续很长时间。

日历邀请可以伪装成项目会议、人事截止日期、管理员提醒或发票审核。每次提醒都会逐步引导用户采取行动。

这种反复接触正是CalPhishing与普通一次性电子邮件攻击的区别所在。钓鱼邮件不再让人感觉像骗局，而更像是一项尚未完成的工作任务。

安全团队在调查此类攻击时，应将目光投向收件箱之外的更广阔区域。防御人员应追踪完整的攻击链，包括群组创建者、添加用户、共享文件以及邮件清理后日历条目是否仍然存在。

组织可以在网关级别阻止发件人域“groups.outlook.com”，以停止外部群组通知。

员工还需要接受培训，以便像对待任何未经请求的电子邮件一样谨慎对待意外的群组添加和会议邀请，尤其是当邮件内容涉及紧急或行政事务时。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《新型网络钓鱼攻击利用 Outlook 和 Microsoft 365 群组功能攻击用户》