在当前数字化转型大背景下,微软365作为企业办公的重要工具,已经成为黑客的重灾区。近期根据ReliaQuest的研究报告显示,无论是Axios的滥用还是Salty 2FA钓鱼工具的横空出世,都使得针对微软365的钓鱼攻击愈发隐蔽与复杂。Axios这类HTTP客户端工具被攻击者借助微软的Direct Send特性,构筑起"高效攻击管道",使钓鱼活动突破了传统安全防线。Axios用户代理的活动从2025年6月至8月飙升了241%,其攻击效率远超其他标记用户代理的85%增长,成为此次攻击潮中不可忽视的关键力量。Axios的广泛应用原本源于其在企业与开发环境中的普遍存在,然而这也让威胁行为者能够轻易隐藏恶意行为,融合于正常流量之中,极大提升了攻击的隐蔽性和持续性。攻击者利用Axios截取、修改并重放HTTP请求,实时捕获会话令牌或多因素认证(MFA)代码,甚至在Azure身份验证工作流中利用SAS令牌,完成对敏感资源的访问控制绕过。
通过操纵这些身份验证流程,黑客能够突破多重安全防线,实施规模化且精准的账号接管攻击。而微软365的Direct Send功能,设计初衷是为企业内部邮件传输简化流程,但攻击者同样利用它来伪造可信用户身份,从而绕过邮件安全网关成功将恶意邮件送达用户收件箱中。ReliaQuest指出,与Axios结合使用的Direct Send钓鱼攻击的成功率高达70%,极大提升了邮件欺诈的命中率。攻击初期主要针对金融、医疗、制造业高管及管理层,随后扩大到更多普通用户,使攻击面显著扩大。与此同时,钓鱼攻击者还运用了以薪酬为诱饵的邮件内容,附带恶意PDF文档。这些文档内嵌有二维码,引导用户扫描后进入伪装成微软Outlook登录页面的钓鱼网站,窃取登录凭证。
值得关注的是,部分钓鱼页面托管于谷歌Firebase平台,该平台的良好声誉进一步增强了欺骗力度,降低了用户的警惕。相较于传统钓鱼行为,Axios和Direct Send的结合呈现出更高的自动化和智能化程度,既能提高钓鱼攻击的规模,也能优化攻击精准度,大大增加了攻击成功率。除此之外,Salty 2FA钓鱼工具的出现,为攻击者提供了逼真的多因素认证模拟,能够绕过多种认证机制,包括短信验证、认证器应用、电话呼叫、推送通知、备份代码及硬件令牌等多重方式。该钓鱼套件采用了诸多高级反制措施,如地理围栏限制、IP过滤,阻止安全厂商的扫描和云服务提供商的访问,甚至禁用浏览器开发者工具启动快捷键,有效防止恶意行为被逆向分析。同时,钓鱼页面会动态分配二级域名,为每个受害者量身定做,以降低检测概率。攻击链首阶段常利用Aha.io伪装成OneDrive共享通知的初始跳转页,诱导用户点击钓鱼链接。
为了进一步筛选目标,攻击还集成了Cloudflare的Turnstile验证码机制,有效阻挡自动化安全工具和沙箱环境,提高欺诈成功率。Salty 2FA不仅体现了攻击者在基础设施构建上的企业化思维,也展现出钓鱼攻防技术的整体提升,使攻击活动与正常业务流量高度匹配,难以被传统安全设备识别。企业应针对Direct Send功能进行安全加固,若非业务必需,建议禁用该特性,同时在邮件网关配置完善的反欺骗策略。加强员工网络安全意识培训,提升钓鱼识别能力也至关重要。此外,及时屏蔽攻击者所使用的恶意域名和IP资源,是降低风险的重要手段。随着钓鱼攻击技术愈发精细化,依赖传统安全防御已难以应对复杂威胁。
零信任架构与人工智能驱动的安全防护逐渐成为防线中坚,通过实时监测和行为分析,提供更准确的威胁预警与响应。微软365的安全环境同样需要不断深化防御策略,强化身份验证机制与邮件传输安全,保障企业资产不受侵害。运维人员应密切关注安全厂商和情报机构发布的最新威胁情报,构建完善的网络安全防御闭环。总之,Axios滥用与Salty 2FA钓鱼套件的结合,标志着微软365平台面临的威胁进入新阶段。黑客利用企业级工具和高级认证绕过技术,提升钓鱼攻击的隐蔽性和效率,给防御方带来严峻挑战。只有通过技术创新加安全意识双管齐下,才能有效抵御眼下及未来不断演进的网络威胁,保障企业信息资产和业务环境的安全稳定。
。
