最新发现，多个威胁者正借助 OAuth 设备代码授权机制，通过钓鱼攻击攻陷微软 365 账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年 9 月以来，此类攻击的数量大幅增长，发起攻击的既包括 TA2723 这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软 365 账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况 " 极为反常 "。

攻击工具与活动详情

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及 Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish 是一款公开可用的红队工具，通过二维码针对 OAuth 设备授权流程发起攻击，仿冒微软 MFA/TOTP 的合法配置流程。

Graphish 是在地下论坛传播的恶意钓鱼工具包，支持 OAuth 权限滥用、Azure 应用注册，以及中间人攻击。 

针对监测到的攻击活动，研究人员在报告中重点提及三类：

1. 薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成 " 安全认证 "，实则为攻击者控制的应用完成授权。

攻击中使用的授权页面

2.TA2723 攻击活动：TA2723 是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软 OneDrive、LinkedIn 与 DocuSign 发起攻击，今年 10 月起开始使用 OAuth 设备代码钓鱼手段。该活动初期可能使用 SquarePhish2 工具，后续攻击浪潮则可能转向 Graphish 钓鱼工具包。

TA2723 的 OneDrive 仿冒攻击

3. 国家关联攻击活动：自 2025 年 9 月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号 UNK_AcademicFlare），正滥用 OAuth 设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒 OneDrive 的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

针对前期无害互动发起的恶意邮件

为拦截此类攻击，安全研究员建议企业尽可能启用 Microsoft Entra 条件访问，并考虑制定登录来源相关的安全策略。