微软365账户遭OAuth设备代码垂钓攻击激增

首页 > 安全钻研 > 安全传递 > 安全简讯

微软365账户遭OAuth设备代码垂钓攻击激增

颁布功夫 2025-12-23

1. 微软365账户遭OAuth设备代码垂钓攻击激增

12月19日，，自9月起，，电子邮件安全公司Proofpoint监测到利用OAuth设备代码授权机制的网络垂钓攻击显著增长，，攻击者通过诱骗受害者在微软合法设备登录页面输入设备代码，，无需窃取痛处或绕过多重身份验证（MFA）即可获取Microsoft 365账户节制权。此类攻击不仅涉及经济利益驱动的网络犯罪分子如TA2723，，还蕴含国度结盟的威胁行为者如疑似俄罗斯关联的UNK_AcademicFlare。攻击链通常通过垂钓邮件诱导受害者点击链接接见攻击者节制的网站，，随后要求输入“设备代码”实现“安全验证”，，实则授权恶意利用法式接见账户。Proofpoint观察到攻击者使用SquarePhish v1/v2和Graphish等工具简化垂钓流程。例如，，薪资嘉奖攻击利用文档共享钓饵和本地化品牌标识引诱点击；；；TA2723自10月起转向此类攻击，，早期使用SquarePhish2，，后期可能切换至Graphish；；；UNK_AcademicFlare则利用被入侵确当局/军方邮箱成立信赖，，通过伪造OneDrive链接诱导设备代码输入，，重要针对美欧当局、学术、智库及交通部门。

https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/

2. 河床竞技俱乐部遭麒麟勒索软件攻击

12月21日，，阿根廷河床竞技俱乐部（CARP）于周五遭逢麒麟勒索软件组织攻击，，该组织将其列为“管帐服务”受害者并颁布蕴含数千份文件的洋葱链接。文件类型涵盖PDF、Excel、Word、图像、电子邮件及压缩存档，，单文件巨细从1KB至22MB不等，，功夫跨度为2021至2025年，，涉及发票、合同、技术规范、构筑平面图等敏感内容，，甚至蕴含信誉卡账单和采购订单样本�：：：哟沧魑⒏⒆畛晒ψ闱蚨樱�72冠），，占有35万会员及南美洲最大球场，，其青少年部门最小队员仅7岁，，这次攻击露出出体育机构网络安全缝隙。麒麟勒索软件自2021年活跃，，2022年初次纪录攻击，，2025年成为最活跃团伙，，从前半年发起超600起攻击。该组织选取“勒索软件即服务（RaaS）”模式，，尝试双重勒索。其攻击指标涵盖制作商、金融机构、医疗保健及当局机构，，因这些行业存储敏感信息易受数据泄露影响。

https://cybernews.com/news/club-atletico-river-plate-football-club-qilin-ransomware/

3. 法国邮政局圣诞前夕遭DDoS攻击致多业务瘫痪

12月23日，，圣诞前夕，，法国国度邮政局（La Poste）遭逢大规模DDoS攻击，，导致其网站、移动利用及主题数字系统瘫痪，，包裹配送服务显著放缓，，部门在线业务中断。该局在周一申明中确认，，这次网络攻击造成系统性故障，，但强调目前无证据显示用户数据泄露，，仅认可邮政及银行业务（如包裹配送、银行转账）受波及。旗下法国邮政银行（La Banque Postale）同步受影响，，用户反映网上银行及移动利用接见难题，，不外银行方面澄清，，实体网点POS机刷卡、ATM取款及短信验证的在线支付职能仍正常运作，，柜台业务亦持续盛开。这次攻击恰逢邮政业务顶峰期，，引发用户强烈不满。社交媒体上，，大量民众抱怨配送延长可能导致圣诞包裹无法实时投递，，法国媒体亦报道部门邮局因系统故障回绝用户寄件或取件要求。只管部门邮局已缩减运营规模，，但邮政局强调“团队全员带头加快服务复原”，，用户仍可通过柜台办理邮政及银行业务。

https://therecord.media/la-poste-france-ddos-disruption-days-before-christmas

4. 罗马尼亚国度水务机构遭勒索软件攻击

12月22日，，罗马尼亚国度水务治理机构于近日遭逢勒索软件攻击，，导致约1000台推算机系统瘫痪，，工作站与服务器无法使用，，但主题水利技术基础设施如大坝、防洪设施未受影响。这次攻击迫使员工烧毁电子邮件通讯，，转而使用电话和无线电进行内部协调，，凸显了网络攻击对日常运营的滋扰。值妥贴心的是，，攻击者选取了与传统勒索软件分歧的技术伎俩，，利用合法Windows工具BitLocker执行加密勒索。这种被称为“LOLBins”（Living-off-the-Land Binaries）的战术，，通过挪用系统自带工具（如BitLocker）在受害者网络中横向移动并躲避安全检测，，增长了防御难度�？？？ò退够⑹允�2024年钻研显示，，墨西哥、印度尼西亚、约旦的钢铁企业、疫苗制作商及当局机构曾遭逢类似攻击；；；网络安全公司Bitdefender也指出，，“ShrinkLocker”恶意软件正被多个威胁组织用于针对老旧Windows系统的单一攻击，，通过剧本化操作合法工具实现勒索主张。

https://therecord.media/romania-national-water-agency-ransomware-attack

5. 日产汽车陷红帽数据泄露风浪，，2.1万客户信息遭窃

12月22日，，日产汽车有限公司近日证实，，因美国企业软件公司红帽（Red Hat）9月产生的数据泄露事务，，其约21,000名日本福冈地域客户信息被窃取，，涉及全名、物理地址、电话号码、电子邮件地址及销售运营数据，，但信誉卡等财政信息未受波及。这次事务源于红帽公司数据服务器遭未经授权接见，，导致日产委托其开发的客户治理系统数据泄露，，成为日产今年第二起网络安全事务，，此前8月，，其设计子公司Creative Box Inc.曾遭麒麟勒索软件攻击�：：：烀笔菪孤妒挛裼跋焐钤�，，涉及28,000个私有GitLab存储库，，敏感数据达数百GB�：：：诳妥橹疌rimson Collective最初宣称对此掌管，，随后ShinyHunters也染指其中，，在勒索平台托管被盗数据样本以施压受害公司。日产强调，，被入侵的红帽环境未存储其他数据，，且无证据批注泄露信息已被滥用，，但已引发客户对隐衷安全的忧郁。

https://www.bleepingcomputer.com/news/security/nissan-says-thousands-of-customers-exposed-in-red-hat-breach/

6. 伊朗APT组织Infy携新的恶意软件活动重现

12月21日，，威胁谍报机构SafeBreach披露，，伊朗Infy（又称Prince of Persia）APT组织近期重启活跃，，这是该组织自2020年针对瑞典、荷兰、土耳其指标后初次大规模现身。作为现存最古老的APT之一，，Infy活动可追忆至2004年12月，，其荫蔽性持久高于Charming Kitten等驰名伊朗组织，，但这次行动展示更复杂的攻击链升级。最新攻击中，，Infy使用升级版Foudre下载器与Tonnerre植入法式，，通过垂钓邮件传布。攻击链从传统Excel宏转向文档内嵌可执行文件，，结合域名天生算法（DGA）强化C2服务器韧性。尤为值妥贴心的是，，恶意软件通过RSA署名验证C2域名真实性。2025年9月检测Tonnerre最新版本新增Telegram群组通讯机制，，有关配置存储在C2服务器“t”目录的tga.adr文件中，，仅对特定受害者GUID触发下载。此外，，C2服务器存在未知用处的“download”目录，，揣摩用于恶意软件升级。

https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研