黑客利用OAuth漏洞攻击340多家微软365组织，设备代码钓鱼技术横扫五国

网络安全研究人员发出警告，一场针对微软365身份认证的设备代码钓鱼攻击正在进行中，已波及美国、加拿大、澳大利亚、新西兰和德国超过340家组织。

据Huntress公司报告，这项攻击活动最早于2026年2月19日被发现，此后攻击频率明显加速。值得注意的是，该攻击活动利用Cloudflare Workers重定向功能，将捕获的会话重定向到名为Railway的平台即服务基础设施上，有效地将其转变为凭证收集引擎。

建筑、非营利组织、房地产、制造业、金融服务、医疗保健、法律和政府部门都是此次攻击的主要目标。

"这次攻击的不寻常之处不仅在于涉及的设备代码钓鱼技术，还在于观察到的技术手段多样性，"该公司表示。"建筑投标诱饵、登陆页面代码生成、DocuSign冒充、语音邮件通知以及滥用微软表单页面，这些手段都通过相同的Railway.com IP基础设施攻击同一受害者群体。"

设备代码钓鱼是一种利用OAuth设备授权流程的技术，攻击者可以获得持久访问Token，进而控制受害者账户。这种攻击方法的重要特点是，即使账户密码被重置，Token仍然保持有效。

攻击流程概览如下：

威胁行为者通过合法的设备代码API向身份提供商请求设备代码。

服务响应返回设备代码。

威胁行为者制作有说服力的电子邮件发送给受害者，敦促他们访问登录页面并输入设备代码。

受害者输入提供的代码以及凭证和双重身份验证代码后，服务为用户创建访问Token和刷新Token。

"一旦用户成为钓鱼攻击的受害者，他们的身份验证会生成一组Token，这些Token存在于OAuth Token API端点，可以通过提供正确的设备代码来检索，"Huntress解释道。"当然，攻击者知道设备代码，因为它是通过对设备代码登录API的初始cURL请求生成的。"

"虽然该代码本身是无用的，但一旦受害者被欺骗进行身份验证，生成的Token就属于任何知道原始请求中使用哪个设备代码的人。"

设备代码钓鱼技术最早由微软和Volexity在2025年2月观察到，随后亚马逊威胁情报和Proofpoint记录了后续攻击波次。多个与俄罗斯有关的组织Storm-2372、APT29、UTA0304、UTA0307和UNK_AcademicFlare被归因于这些攻击。

这种技术具有隐蔽性，特别是因为它利用合法的微软基础设施执行设备代码身份验证流程，从而让用户没有理由怀疑可能存在问题。

在Huntress检测到的攻击活动中，身份验证滥用源自Railway.com的一小群IP地址，其中三个约占观察到事件的84%：

162.220.234.41

162.220.234.66

162.220.232.57

162.220.232.99

162.220.232.235

攻击的起点是钓鱼电子邮件，它将恶意URL包装在思科、趋势科技和Mimecast等合法安全供应商的重定向服务中，以绕过垃圾邮件过滤器，并触发多跳重定向链，该链结合受损站点、Cloudflare Workers和Vercel作为中介，最终将受害者带到最终目的地。

"观察到的着陆站点提示受害者继续访问合法的微软设备代码身份验证端点，并输入提供的代码以读取某些文件，"Huntress说。"当受害者到达时，代码直接呈现在页面上。"

"这是该策略的一个有趣迭代，因为通常情况下，对手必须生成代码然后提供给受害者。通过在页面上直接呈现代码，可能通过某种代码生成自动化，受害者立即获得了代码和攻击的借口。"

着陆页面还带有"继续到微软"按钮，点击后会弹出一个窗口，呈现合法的微软身份验证端点。

几乎每个设备代码钓鱼站点都托管在Cloudflare workers.dev实例上，说明威胁行为者如何武器化企业环境中与该服务相关的信任，以规避Web内容过滤器。为了对抗这种威胁，建议用户扫描登录日志以寻找Railway IP登录，撤销受影响用户的所有刷新Token，并尽可能阻止来自Railway基础设施的身份验证尝试。

Huntress随后将Railway攻击归因于一个名为EvilTokens的新型钓鱼即服务平台，该平台上个月在Telegram上首次亮相。除了宣传发送钓鱼电子邮件和绕过垃圾邮件过滤器的工具外，EvilTokens仪表板还为客户提供开放重定向链接到易受攻击的域名，以模糊钓鱼链接。

"除了工具功能的快速增长外，EvilToken团队还建立了全天候支持团队和支持反馈渠道，"该公司表示。"他们也有客户反馈。"

随着这一披露，帕洛阿尔托网络公司Unit 42也警告了类似的设备代码钓鱼攻击活动，强调该攻击使用反机器人和反分析技术来躲避雷达，同时在页面加载时向威胁行为者泄露浏览器cookie。该攻击活动最早的观察时间可追溯到2026年2月18日。

钓鱼页面"禁用右键功能、文本选择和拖拽操作，"该公司表示，还"阻止开发者工具的键盘快捷键（F12、Ctrl+Shift+I/C/J）和源代码查看（Ctrl+U）"，并"通过利用窗口大小启发式检测活跃的开发者工具，随后启动无限调试器循环。"

Q&A

Q1：设备代码钓鱼攻击是什么？它如何工作？

A：设备代码钓鱼是一种利用OAuth设备授权流程的攻击技术。攻击者首先请求设备代码，然后通过钓鱼邮件诱导受害者访问合法的微软登录页面输入代码和凭证，从而获得持久的访问Token来控制受害者账户。

Q2：EvilTokens是什么平台？它提供什么服务？

A：EvilTokens是一个新型的钓鱼即服务平台，上个月在Telegram上首次亮相。它为客户提供发送钓鱼邮件、绕过垃圾邮件过滤器的工具，以及开放重定向链接到易受攻击域名的服务，还建立了全天候支持团队。

Q3：如何防护设备代码钓鱼攻击？

A：建议扫描登录日志寻找可疑IP登录，撤销受影响用户的所有刷新Token，尽可能阻止来自Railway基础设施的身份验证尝试。同时要警惕钓鱼邮件，特别是那些要求访问微软登录页面输入代码的邮件。