文章总结: 本文深度解析了黑客组织O-UNC-066利用实时后台控制钓鱼面板,针对微软365用户实施的高级攻击手法。攻击者通过语音钓鱼诱导目标访问伪造的Passkey注册页面,利用后台面板实时监控并动态下发与受害者MFA策略匹配的伪造页面,窃取凭证和MFA令牌。成功登录后,黑客利用伪助记词页面拖延时间,在后台绑定自己的Passkey实现持久化访问。文章强调技术护城河难防社工套路,建议加强安全意识培训、强制FIDO2硬件密钥和监控设备绑定行为。 综合评分: 80 文章分类: 红队,社会工程学,WEB安全,安全意识,安全运营
硬核解析:黑客如何用“假Passkey”实时绕过MFA,接管微软365?
原创
Hankzheng Hankzheng
技术修道场
2026年7月14日 08:06 广东
在小说阅读器读本章
去阅读
大家好,最近在看安全圈的动态时,我发现了一个非常有意思,甚至可以说有点“狡猾”的攻击手法。大家都知道,微软这两年一直在大力推行 Passkey(通行密钥),号称这是抗钓鱼的终极解决方案。
结果呢?道高一尺,魔高一丈。最近有个代号叫 O-UNC-066 的黑客组织(Palo Alto称其为 CL-CRI-1147,背靠The Com黑客联盟),直接把微软的这波安全升级当成了钓鱼诱饵。他们搞出了一套极其硬核的实时后台控制钓鱼面板,专门针对食品、医疗、科技和航空等行业的 Microsoft 365 目标下手。
今天,咱们就从攻防技术的视角,深度扒一扒这套钓鱼工具包的技术路径和底层逻辑。看看它是如何利用信息差,在受害者的眼皮子底下完成账号接管的。
🛠️ 核心差异:抛弃传统AitM,启用“人工+面板”实时微操
如果你对钓鱼有一点了解,肯定知道现在最流行的是 AitM(中间人攻击) 工具,比如 Evilginx。这类工具通常是自动化的,负责在用户和真实服务器之间代理流量,窃取 Cookie 和 MFA(多因素认证)令牌。
但这次黑客用的工具包完全不同。它是一个 基于 PHP 的操作员控制面板。
这是什么概念?这就好比黑客在和你玩一局“双排”游戏。 黑客首先会利用 Vishing(语音钓鱼),直接给目标打个电话:“喂,我是IT部门的,公司现在强制要求升级微软 Passkey,请配合操作一下。”
受害者一旦点开链接,背后其实是一个真实存在的黑客(或者他的同伙)坐在屏幕前,通过后台面板 /backend.php 实时监控并控制受害者看到的每一个页面。
技术难点与破局: 不同的企业、不同的用户,配置的 MFA 策略是完全不同的(有的是动态口令 TOTP,有的是短信 SMS,有的是数字匹配的 App 推送)。传统的自动化钓鱼很难完美适配所有场景。而这种后台实时控制台的方案,让黑客可以根据微软真实服务器的反馈,动态给受害者推送对应的伪造 MFA 页面。这种降维打击,防不胜防。
🔍 攻击链复现:步步为营的“套路”
让我们深入这个钓鱼工具包(Phishing Kit)的代码逻辑,看看完整的技术攻击路径是如何展开的:
第一阶段:凭证与MFA窃取
-
/gate(入口防线):受害者访问后,首先看到一个加载动画。此时工具包并没有闲着,它在后台静默执行反分析检查(Anti-analysis checks),屏蔽安全扫描器的 IP 和沙箱环境。
-
/identify&/password(凭证收割):依次要求输入用户名和密码。这些数据通过 POST 请求直接回传到黑客的
/backend.php。 -
真实登录与等待:
黑客拿到账号密码后,立刻在另一台设备上登录该用户的真实微软官网。此时,受害者的页面会跳转到
/processing(处理中) 并持续转圈加载,其实是在给黑客争取操作时间。 -
实时 MFA 下发:
黑客在真实官网触发了 MFA。如果官网要求短信验证码,黑客就在控制台点击发送
/submit-otp页面给受害者;如果是时间动态码(TOTP),就发送/submit-authenticator;如果是推送通知,就下发/approve-authenticator。 -
受害者乖乖输入或点击确认后,OTP 会再次 POST 到黑客后台,黑客顺理成章地登入受害者的 M365 账户。
到这一步,账号其实已经沦陷了。但最精彩的(也是最鸡贼的)还在后面。
🎭 障眼法:利用伪“助记词”拖延时间
黑客成功登录后,他们的终极目标是在受害者的账号里,绑定黑客自己控制的实体 Passkey,从而实现持久化访问。
但绑定 Passkey 是需要时间的,怎么稳住电话那头的受害者呢?黑客设计了一套极其逼真的“过场动画”:
- 受害者被重定向到
/passkey/register页面,提示正在创建 Passkey。 - 接着跳出一个带有微软 Logo 的
/passkey页面,最骚的操作来了——页面上展示了 12 个单词的恢复密钥(Recovery Key)。 - 随后跳转到
/passkey/check,要求用户像验证 Crypto 钱包助记词一样,验证最后一个单词。 - 最后显示
/done,恭喜你,注册成功。
原理解析:这是纯粹的心理学+技术盲区利用。 真正的 WebAuthn / FIDO2 Passkey 注册仪式(Ceremony),是需要调用操作系统的底层接口的(比如 Windows Hello 的弹窗、指纹或面容识别)。它根本不需要你记什么“12个单词的助记词”!黑客就是利用了绝大多数用户对 Passkey 验证流程的不熟悉,用这种看似高级的 Web3 玩法转移注意力,把受害者死死拖在页面上。
而在这段时间里,黑客已经在后台悄悄把自己的 YubiKey 或者软路由 Passkey 绑定到了这个 M365 账号上。
🛡️ 总结与反思
O-UNC-066 (也就是今年4月开始活跃的 Pink 勒索数据泄露网站背后的推手)的这波操作,给我们敲响了警钟。
作为 IT 和安全人员,我们需要认清一个现实:技术的护城河再深,也防不住社工的套路。 微软推行 Passkey 本意是为了消灭钓鱼,但黑客却利用“升级 Passkey” 这个借口,反手做了一个完美的局。
应对策略建议:
-
加强安全意识培训:
告诉员工,真正的 Passkey 注册一定会有系统级的生物识别或硬件弹窗,绝对不会让你手抄 12 个单词。
-
强制 FIDO2:
尽量在企业内部废除 SMS 或普通 App 推送的 MFA,全面转向强制硬件安全密钥(FIDO2),从物理层面阻断此类中间人/实时面板攻击。
-
监控设备绑定行为:
在 SIEM 系统中,针对短时间内非正常 IP 发起的设备注册和 Entra ID 凭证修改行为,建立高优的告警规则。
大家在自己的企业网络里有没有遇到过类似的高级钓鱼套路?欢迎在评论区留言,我们一起探讨防护思路!
如果你觉得这篇技术复盘对你有帮助,别忘了“转发”和点“赞”哦!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:技术修道场 Hankzheng Hankzheng《硬核解析:黑客如何用“假Passkey”实时绕过MFA,接管微软365?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论