近年来,随着云计算和办公自动化的普及,微软365已成为全球众多企业的核心生产力平台,其庞大的用户基础和丰富的功能也吸引了越来越多的不法分子关注。网络攻击手法不断推陈出新,其中假冒OAuth应用联合Tycoon钓鱼工具针对微软365账户的攻击,正逐渐成为网络安全领域的严峻挑战。此类攻击不仅使账户面临被劫持风险,更让多因素认证(MFA)防护机制遭受威胁,本文将详细解析该攻击手法的原理、具体流程及应对策略,帮助用户和企业增强安全防护能力。攻击者首先通过发送钓鱼邮件开启攻击链,邮件通常伪装成商业报价请求或合同协议,借助目标收件人信任的企业或合作伙伴名义诱导点击。邮件发件账号多为被攻陷的真实账户,提升了邮件的可信度和通过率。点击邮件中的链接后,受害者会被重定向至一个伪装成微软OAuth授权页面的界面,该页面以名为“iLSMART”的应用呈现,声称需要权限查看用户的基础资料及持续访问权限。
iLSMART是一个真实存在的在线交易平台,主攻航空、海事及国防行业零配件的买卖,这种真假结合的策略极大地提升了欺诈页面的说服力。无论用户是接受还是拒绝授权,他们都将经历一系列自动跳转,先是验证码页面,随后进入伪造的微软账户认证界面,正是此处采用了对抗中间人攻击(AiTM)技术,通过实时截取用户输入的凭据和多因素认证代码,实现凭据收割。Tycoon工具作为一种钓鱼即服务平台,凭借其成熟的钓鱼模板、自动化操作和多因素认证绕过能力,成为此次攻击的核心利器。Proofpoint安全公司检测到,这种钓鱼手法已在2025年初开始活跃,且所冒充的OAuth应用多达50余种,包括知名企业如RingCentral、SharePoint、Adobe及Docusign等,覆盖面广,攻击范围大。更令人警惕的是攻击不止于单一场景。2025年5月,安全公司还发现一波利用Twilio SendGrid邮件发送平台伪装成Adobe的邮件攻击,策略相似,均以获取用户授权或触发取消流程,将用户重定向至钓鱼网站为目的。
整个攻击活动影响甚广,截至目前,已有将近3000个用户账户遭到尝试性攻破,涉及900多个微软365环境。这些数据充分表明,攻击者正不断创新攻击链,以规避安防检测,并在全球范围内抢占更多目标。为了应对此类新兴威胁,微软宣布将于2025年8月完成对默认安全设置的更新,重点包括阻止遗留身份验证协议、要求管理员对第三方应用访问进行授权等重要举措。这一改进预计将有效降低攻击面的暴露,抑制攻击者利用假冒OAuth应用的途径。与此同时,微软还计划于2025年10月至2026年7月间,默认禁用指向受阻文件类型的外部工作簿链接,进一步提升工作簿的安全等级。上述防御升级将对减缓当前及未来类似攻击起到积极作用。
除了钓鱼攻击外,近期针对企业的网络攻击更隐秘复杂。例如,一些攻击者通过伪装成付款收据的定向钓鱼邮件,利用AutoIt注入器植入.NET恶意软件VIP Keylogger,窃取主机敏感数据;或者利用隐藏在PDF中的远程桌面软件安装链接绕过邮件与恶意软件防护。此类攻击主要目标分布在法国、卢森堡、比利时和德国,多以假发票、合同和房产公告的形式迷惑中招者。值得注意的是,攻击中常见远程监控管理(RMM)工具有FleetDeck、Action1、OptiTune、Bluetrait、Syncro、SuperOps、Atera和ScreenConnect等。尽管尚未观察到后续恶意载荷的植入,但RMM工具被广泛视作入侵的初始载体,为后续攻击如勒索软件部署铺路。企业安全团队和用户应当高度重视此类复杂威胁,通过多层次防御机制加强保护。
整体来看,身份认证环节正成为攻击者的主要切入点,多因素认证虽显著增强安全保障,但AiTM钓鱼技术的兴起使得传统MFA面临严峻挑战。面对这种趋势,要解决身份安全问题,单靠技术手段远远不够,培养员工安全意识、加强安全培训、完善访问权限管理及及时更新软件补丁同样重要。具体而言,企业应确保邮件系统具备先进的钓鱼检测和威胁情报能力,利用行为分析识别异常登录和访问请求,及时阻断可疑活动。同时,强化OAuth应用的审批和管理流程,限制权限授予,仅允许被信任的应用接入企业资源。微软365用户则应谨慎对待授权请求,不轻易点击陌生或异常的邮件链接,确认应用来源的真实性。启用安全默认设置,合理配置条件访问策略以及利用安全工具监控账户活动,也是抵御攻击的关键措施。
总之,随着钓鱼技术和攻击工具不断演变,保护微软365账户安全的任务变得前所未有的复杂。假冒OAuth应用结合Tycoon工具的攻击案例,尤为凸显了身份认证环节的薄弱与风险。只有企业与终端用户形成合力,不断更新安全意识与技术防御,才能有效抵御当前蓬勃发展的网络攻击威胁,保障数字资产和业务连续性不受侵害。未来,关注身份安全、积极采用零信任架构和持续威胁监控将成为保障微软365及其他关键云平台账户安全的必经之路。
