文章总结： 黑客正在利用OAuth设备授权流程发起新型网络钓鱼攻击，以窃取Microsoft365访问令牌。这种攻击通过欺骗用户在官方登录页面输入恶意生成的设备代码来完成，绕过了传统的钓鱼防御。近期此类攻击激增，与网络钓鱼即服务平台的兴起以及攻击者将其作为2FA绕过受阻后的替代方案有关。组织可通过条件访问策略限制设备代码认证，以降低相关风险。 综合评分： 85 文章分类： WEB安全,渗透测试,恶意软件,威胁情报,解决方案

黑客利用 OAuth 设备流程窃取 Microsoft 365 令牌

原创

ZM ZM

暗镜

2026年5月18日 06:01 北京

在小说阅读器读本章

去阅读

随着设备代码网络钓鱼在整个威胁形势中激增，黑客正在迅速利用鲜为人知的微软身份验证功能来劫持企业帐户。

犯罪活动激增与犯罪工具包和网络钓鱼即服务 (PhaaS) 平台的公开发布密切相关，使得这种曾经鲜为人知的技术得以广泛应用。

几乎每周都会出现新的工具包，其中许多似乎是使用人工智能辅助的“感觉编码”生成或改进的，攻击者复制或稍微修改现有工具，以大规模地产生几乎相同的攻击链。

设备代码钓鱼是凭证窃取的一种自然演变。随着企业不断改进密码盗窃和多因素身份验证 (MFA) 绕过技术的防御措施，攻击者正转向利用合法身份验证流程漏洞的方法。

攻击者不会直接窃取凭证，而是诱骗用户授权恶意应用程序，从而在不立即引起怀疑的情况下，使攻击者获得持久访问权限。

Proofpoint 的安全研究人员警告称，攻击者正在滥用 OAuth 设备授权流程来窃取 Microsoft 365 访问令牌，从而实现隐蔽的帐户接管，绕过传统的网络钓鱼防御措施。

在典型的网络钓鱼攻击中，受害者会收到包含链接、附件或二维码的钓鱼邮件。这些邮件通常冒充微软、DocuSign 或 Adobe 等知名品牌。

点击该链接后，将启动合法的微软设备登录流程。用户会看到一个唯一的设备代码，并被指示在微软官方设备登录页面输入该代码。

微软随后会颁发与受害者帐户关联的身份验证令牌，攻击者会捕获这些令牌并用于访问电子邮件、云数据和其他连接的服务。

近期攻击激增的关键创新在于按需生成设备代码。早期版本的攻击依赖于预先生成的代码，这些代码会在 15 分钟内过期，因此攻击成功率有限。

现代钓鱼工具包会在受害者点击链接时动态生成代码，使攻击者能够随时攻击用户，而无需担心过期时间。

像 EvilTokens 这样的平台（最早于 2026 年初在 Telegram 上投放广告）已经将这一过程产业化。该服务提供现成的网络钓鱼模板、基础设施和自动化工具，能够大规模开展商业电子邮件诈骗 (BEC) 活动。

关联方甚至可以通过专用仪表板管理多个被盗用的 Microsoft 365 帐户。

威胁行为者还将设备代码钓鱼与“账户劫持跳跃”相结合，即利用被盗用的电子邮件账户在内部或向受信任的联系人传播钓鱼信息。这大大提高了攻击成功的可能性，因为这些信息看起来像是来自合法来源。

一个被追踪为 TA4903 的知名黑客组织在 2026 年几乎完全转向了设备代码网络钓鱼。在最近的攻击活动中，该组织冒充人力资源部门和政府机构，分发包含二维码的 PDF 附件。

这些代码通过云托管基础设施将受害者重定向到极具迷惑性的钓鱼页面，引导他们完成设备授权过程。

有趣的是，一些攻击活动显示出运营安全性低下的迹象。研究人员观察到一些电子邮件的邮件正文为空，且基础设施细节暴露在外，这表明许多攻击者严重依赖自动化或人工智能生成的工具，却并未完全了解这些工具的运作原理。

这一趋势也反映了网络犯罪生态系统的更广泛转变。在Tycoon 2FA等传统中间人攻击（AiTM）网络钓鱼服务受到干扰后，许多运营商已转向设备代码网络钓鱼。

ODx 和 Kali365 等竞争平台现在也集成了设备代码功能，进一步加速了设备的普及。

尽管这种技术发展迅速，但它严重依赖社会工程学。与早期的“ClickFix”骗局类似，受害者必须被诱骗复制或将代码输入到可信平台。

在 4 月份观察到的一次攻击活动中，攻击者分发了伪装成 SharePoint 文档的 PDF 文件，其中包含指向设备代码登录页面的 URL。

微软登录流程的熟悉性使得这些攻击特别有效，因为用户认为自己正在完成一个例行的身份验证步骤。

攻击成功可能导致账户完全被接管、数据被盗、金融诈骗以及在企业环境中横向移动。在某些情况下，通过窃取的令牌获得的访问权限已被用于发起勒索软件攻击或进行长期间谍活动。

安全专家强调，无论使用何种工具包，防御措施都应保持一致。组织可以通过条件访问策略限制或阻止设备代码认证流程，或者将使用范围限制在受信任的设备、用户和网络位置，从而降低风险。

随着攻击者不断创新，对身份验证工作流程的了解和控制对于保护现代云环境至关重要。

相关IOC

| | | | | — | — | — | | 指标 | 描述 | 首次出现 | | onedrive-7tu[.]techroboticslabmade-techie-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼着陆 | 2026年3月26日 | | voicemail-59f[.]admin-treyripple-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼着陆 | 2026年3月24日 | | voicemail-wx7[.]mark-squires-expressrancnes-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼着陆 | 2026年3月24日 | | voicemail-lyr[.]nbuckley-cambek-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼域名 | 2026年3月24日 | | f8uh-dwam-j4l5[.]pvasquez-princetonpartners-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼着陆 | 2026年5月1日 | | ytgw-9n30-xlwd[.]pvasquez-princetonpartners-com-s-account[.]workers[.]dev | EvilTokens 设备代码钓鱼着陆 | 2026年5月1日 | | z6e43e5886fe-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 019d442e-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | jo2c9ada427c6-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 7806d4cf9366-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | ee10bbf6c689-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | yaga9b286ae2c101-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | f36c2774f013-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 2dc62559e005-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 4daa2aea93db-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | ed5ce47d835f-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 6dd5fd945b34-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 0fdba029e6a5-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 019d442a-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | 019d6860-endpoint[.]com | 设备代码钓鱼域名 | 2026年5月5日 | | stablewebsystems[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | marktkarree-langenfeld[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | crediblebizextension[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 服务不间断[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 市场信誉信号[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 科尔霍夫-埃德尔斯塔尔维拉贝通[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 可靠的支持[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | europetrustwave[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | trustedengagement[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 有条理[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 扩展你的信誉[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | europesignaltrust[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | consistentdigital[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 不间断的性能[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | digitalcontinuity[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 数字可靠性[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 海尔布隆纳-弗鲁林斯研讨会[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | 可靠的交互[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | euromarketsignal[.]de | ODx 设备代码钓鱼域 | 2026年4月30日 | | audit-report-9767d3[.]fullerjp09[.]workers.dev | TA4903 设备代码网络钓鱼着陆 | 2026年4月15日 | | hti-245401512[.]hs-sites-na2[.]com | TA4903 设备代码网络钓鱼着陆 | 2026年4月5日 | | 7740f766-8d1d-46ad-a6bc-onedrive[.]p-9jluifuu[.]workers[.]dev | ARToken 设备代码着陆页 | 2026年5月2日 | | panel[.]hewktree[.]net | ARToken 设备代码面板 | 2026年5月2日 |

注意：  IP 地址和域名已被故意弱化（例如，  [.]），以防止意外解析或超链接。请仅在受控的威胁情报平台（例如 MISP、VirusTotal 或您的 SIEM）中重新激活。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《黑客利用 OAuth 设备流程窃取 Microsoft 365 令牌》