文章总结： 与俄罗斯有关联的黑客组织正利用设备代码网络钓鱼技术攻击Microsoft365账户，通过发送包含URL的消息诱骗用户获取设备代码，进而非法访问账户。多个威胁组织使用SquarePhish2或Graphish钓鱼工具包实施此类攻击，目标包括政府机构、智库等。微软未对此置评，但此前已报告过类似攻击活动。 综合评分： 86 文章分类： 威胁情报,网络安全,社会工程学,漏洞分析,攻击活动

与俄罗斯有关联的黑客利用微软365设备代码进行网络钓鱼攻击

会杀毒的单反狗

军哥网络安全读报

2025年12月22日 09:00 湖北

导读

据 Proofpoint 周四发布的一份报告显示， 多个威胁组织一直在加大力度使用一种名为设备代码网络钓鱼的技术来诱骗用户授予对其 Microsoft 365 帐户的访问权限。

近几个月来，与俄罗斯有关联的黑客利用这种技术发动了攻击。一些犯罪团伙也使用相同的方法攻击M365用户。

“这是一种社会工程方法，它滥用合法且受信任的工作流程来获取授权访问权限。”Proofpoint 的威胁研究员 Sarah Sabotka 告诉 Cybersecurity Dive。

这项技术涉及发送一条包含URL的消息，该URL嵌入在超链接文本或二维码中。据Proofpoint称，当用户点击链接时，就会启动一个攻击序列，该序列会利用合法的微软设备授权流程。

流程开始后，用户会收到一个设备代码。据 Proofpoint 称，该代码会显示在登录页面或通过另一封电子邮件发送。用户需要将该设备代码作为一次性密码输入。输入完成后，系统会验证令牌，黑客即可访问 M365 帐户。

威胁组织正在使用 SquarePhish2 或 Graphish 钓鱼工具包等工具发起攻击。Graphish 钓鱼工具包允许黑客创建极具迷惑性的钓鱼页面，这些页面利用 Azure 应用程序注册和反向代理设置，从而实施中间人攻击。

这家网络安全公司警告称，一名网名为TA2723的犯罪分子一直在黑客论坛上出售一种恶意工具，该工具可用于此类攻击。研究人员发现，该黑客从10月初开始发起了一系列攻击活动，其中一次使用了SquarePhish2，另一次则使用了Graphish。

一个名为 UNK_AcademicFlare 与俄罗斯有关联的组织与一项最早于 9 月份被发现的网络攻击活动有关。该攻击利用从多个政府和军事机构窃取的电子邮件，攻击目标包括美国和欧洲的政府机构、智库、高等教育机构和交通运输部门。

微软未对此研究置评，但该公司在2月份提供了一份先前研究报告的链接，该报告概述了一个名为Storm-2372的与俄罗斯有关联的组织发起的设备代码网络钓鱼活动。该组织自2024年8月以来一直在使用各种技术进行此类攻击。

技术报告：

《通过设备代码授权进行账户劫持的网络钓鱼》

https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover

新闻链接：

https://www.cybersecuritydive.com/news/state-linked-criminal-hackers-device-code-phishing-m365/808396/

今日安全资讯速递

APT事件

Advanced Persistent Threat

与俄罗斯有关联的黑客利用微软365设备代码进行网络钓鱼攻击

https://www.cybersecuritydive.com/news/state-linked-criminal-hackers-device-code-phishing-m365/808396/

CISA发布与 BRICKSTORM 恶意软件相关的新入侵指标

CISA Releases New Indicators of Compromise Tied to BRICKSTORM Malware

Cloud Atlas 威胁组织利用 Office 漏洞执行恶意代码针对东欧中亚目标

Cloud Atlas Exploits Office Vulnerabilities to Execute Malicious Code

BlueDelta黑客攻击热门乌克兰网络邮件和新闻服务的用户

BlueDelta Hackers Target Users of Popular Ukrainian Webmail and News Service

黑客利用 SVG 文件和 Office 文档攻击意大利、芬兰、沙特目标

Hackers Weaponize SVG Files and Office Documents to Target Windows Users

亚马逊通过网络延迟线索检测到朝鲜IT入侵者

https://www.esecurityplanet.com/threats/amazon-detects-north-korean-it-infiltrator-via-latency-clues/

丹麦称，俄罗斯黑客是2024年针对一家水务公司的破坏性网络攻击的幕后黑手

Russia was behind a destructive cyber attack on a water utility in 2024, Denmark says

LongNosedGoblin APT组织攻击亚洲敏感目标

https://www.securityweek.com/chinese-apt-longnosedgoblin-targeting-asian-governments/

伊朗情报机构“Prince of Persia”网络间谍活动再度浮出水面

https://www.cysecurity.news/2025/12/iranian-infy-prince-of-persia-cyber.html

一般威胁事件

General Threat Incidents

黑客利用 PuTTY 进行横向移动和数据窃取

Hackers Using PuTTY for Both Lateral Movement and Data Exfiltration

ATM 巨额诈骗团伙被捣毁：54 人被美国司法部起诉

ATM Jackpotting ring busted: 54 indicted by DoJ

孟加拉国假身份证交易平台运营商因国际诈骗案被起诉

Bangladeshi Operator of Fake ID Marketplaces Charged in International Fraud Case

安卓僵尸网络 Kimwolf 感染数百万用户，并发起 DDoS 攻击

Massive Android botnet Kimwolf infects millions, strikes with DDoS

CountLoader 和 GachiLoader 恶意软件活动针对破解软件用户

https://www.cysecurity.news/2025/12/countloader-and-gachiloader-malware.html

Clop勒索软件组织利用Gladinet CentreStack服务器窃取数据

Clop Ransomware Group Exploiting Gladinet CentreStack Servers to Steal Data

破解软件和 YouTube 视频传播 CountLoader 和 GachiLoader 恶意软件

https://thehackernews.com/2025/12/cracked-software-and-youtube-videos.html

漏洞事件

Vulnerability Incidents

超过 100 台思科安全电子邮件设备遭受0day漏洞攻击

100+ Cisco Secure Email Devices Exposed to Zero‑Day Exploited in the Wild

WatchGuard 零日漏洞已被利用，攻击者可以劫持防火墙

WatchGuard 0-day Vulnerability Exploited in the Wild to Hijack Firewalls

超过 25,000 个启用 FortiCloud 单点登录的系统易受远程攻击

25,000+ FortiCloud SSO-Enabled Systems Vulnerable to Remote Exploitation

黑客利用 Gladinet Triofox 零日漏洞运行恶意代码

Hackers Leverage Gladinet Triofox 0-Day Vulnerability to Run Malicious Code

Apache Log4j 的漏洞（CVE-2025-68161）使得敏感日志数据可被拦截

Apache Log4j Flaw Enables Interception of Sensitive Logging Data

Roundcube Webmail 漏洞允许攻击者执行恶意脚本

Roundcube Vulnerabilities Allow Attackers to Execute Malicious Scripts

华擎、华硕、技嘉、微星主板易受预启动内存攻击

ASRock, ASUS, GIGABYTE, MSI Boards vulnerable to pre-boot memory attacks

Linux内核Rust漏洞（CVE-2025-68260）引发系统崩溃

New Linux Kernel Rust Vulnerability Triggers System Crashes

微软发布紧急更新，修复影响 IIS 站点的 MSMQ 漏洞

Microsoft Released Out-of-band Update to Fix MSMQ Bug that Impacts IIS Sites

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《与俄罗斯有关联的黑客利用微软365设备代码进行网络钓鱼攻击》