攻击者利用伪造 OAuth 应用和 Tycoon 工具包入侵 Microsoft 365 账户

网络安全研究人员近日披露了一起新型攻击活动：攻击者通过伪造企业身份创建假冒的 Microsoft OAuth 应用程序，诱导用户授权，从而窃取凭证并接管 Microsoft 365 账户。

Proofpoint 在周四的报告中指出：“这些假冒的 Microsoft 365 应用程序伪装成多个知名公司的服务，包括 RingCentral、SharePoint、Adobe 和 Docusign。”

这波攻击活动最早于 2025 年初被发现，攻击者通过钓鱼工具包（如 Tycoon 和 ODx）发起攻击，利用 OAuth 应用作为突破口，绕过多因素身份验证（MFA），非法获取用户的 Microsoft 365 账户访问权限。

据该安全公司观察，此类攻击已被用于多个邮件钓鱼活动中，涉及 超过 50 个伪造的应用程序。

攻击通常以来自已被攻陷账户的钓鱼邮件开场，邮件内容伪装成“报价请求”（RFQ）或商业合同的共享请求，诱使收件人点击链接。

点击后，受害者会被引导至一个伪造的 Microsoft OAuth 授权页面，该页面请求用户授权一个名为 “iLSMART” 的应用访问其基础资料，并持续访问已有授权的数据。

值得注意的是，攻击者伪造的“iLSMART”正是一个真实存在的航空、航海和国防行业配件与维修服务在线交易平台。攻击者利用该平台的合法身份来提高钓鱼页面的可信度。

Proofpoint 表示：“虽然这些应用请求的权限对攻击者的直接利用价值有限，但它们为下一阶段的攻击埋下了伏笔。”

无论用户是否同意授权，都会被重定向到一个验证码页面，验证通过后再跳转到一个伪造的 Microsoft 登录页面。这一页面通过 Tycoon 提供的“中间人钓鱼”（AiTM）技术，窃取用户的账户凭证和 MFA 验证码。

就在上月，Proofpoint 还发现另一波冒充 Adobe 的攻击活动，攻击邮件通过 Twilio SendGrid 发送，目的是诱导用户点击授权链接或触发取消操作，从而将用户重定向到钓鱼网站。

尽管这只是 Tycoon 工具包相关攻击活动中的冰山一角，但其影响范围依然广泛。2025 年以来，已有 近 3000 个用户账户、覆盖 900 多个 Microsoft 365 环境遭遇类似尝试入侵。

Proofpoint 警告道：“攻击者正在不断创造更复杂的攻击链，试图绕过安全检测，入侵全球各地的组织。我们预计，未来他们会愈发集中攻击‘身份’本身，AiTM 凭证钓鱼将逐步成为网络犯罪的主流手段。”

对此，微软已于上月宣布将更新默认安全设置：禁用旧版认证协议，并要求第三方应用获取管理员授权。此更新预计将于 2025 年 8 月前完成。

Proofpoint 表示：“这项更新将在整体上提升安全水平，限制攻击者利用该类技术的能力。”

此次披露还与微软另一项安全变更同步：自 2025 年 10 月至 2026 年 7 月，微软将逐步默认禁用 Excel 外部工作簿对高风险文件类型的链接，以提升数据安全。

与此同时，Seqrite 也警告称，近期有针对企业的定向钓鱼邮件伪装成付款收据，利用 AutoIt 注入器传播一种名为 VIP Keylogger 的 .NET 恶意软件，该软件可从受害主机中窃取敏感信息。

还有报告指出，自 2024 年 11 月以来，有攻击活动通过 PDF 文件隐藏远程桌面工具的安装链接，以绕过邮箱和安全系统防护，目标主要集中在法国、卢森堡、比利时和德国。

芬兰安全公司 WithSecure 表示：“这些 PDF 通常伪装成发票、合同或房产信息，看起来像是被隐藏的合法内容，从而诱导用户点击链接并安装程序。”所引导安装的程序名为 FleetDeck RMM，为远程监控与管理工具。

此外，攻击者还部署了多个 RMM 工具，包括 Action1、OptiTune、Bluetrait、Syncro、SuperOps、Atera 和 ScreenConnect 等。

WithSecure 总结称：“虽然目前尚未发现后续载荷，但使用 RMM 工具高度暗示其作为初始访问载体的角色，尤其受到勒索软件团伙的青睐。”