攻击者利用 Tycoon Kit 的虚假 OAuth 应用入侵 Microsoft 365 帐户

网络安全研究人员详细描述了一组新的活动，其中威胁行为者使用伪造的Microsoft OAuth 应用程序冒充企业，以便在帐户接管攻击中获取凭证。
Proofpoint在周四的一份报告中表示： “假冒的 Microsoft 365 应用程序冒充了多家公司，包括 RingCentral、SharePoint、Adobe 和 Docusign。”
该活动于 2025 年初首次被发现，目前正在进行中，其目的是利用 OAuth 应用程序作为网关，通过Tycoon和 ODx等能够进行多因素身份验证 (MFA) 网络钓鱼的网络钓鱼工具包获取对用户 Microsoft 365 帐户的未经授权的访问。
该企业安全公司表示，它观察到这种方法在超过 50 个模仿应用程序的电子邮件活动中使用。
攻击始于从受感染账户发送的网络钓鱼电子邮件，目的是诱骗收件人以共享报价请求 (RFQ) 或商业合同协议为借口点击 URL。
单击这些链接会将受害者定向到名为“iLSMART”的应用程序的 Microsoft OAuth 页面，该页面要求受害者授予其查看其基本个人资料的权限，并保持对其被授予访问权限的数据的持续访问权限。

网络安全
此次攻击之所以引人注目，是因为它冒充了 ILSMart，后者是一个合法的在线市场，供航空、航海和国防工业买卖零件和维修服务。
Proofpoint 表示：“这些应用程序的权限对攻击者来说用途有限，但却可用于设置下一阶段的攻击。”
无论目标是否接受或拒绝所请求的权限，它们都会首先被重定向到 CAPTCHA 页面，然后在验证完成后被重定向到虚假的 Microsoft 帐户身份验证页面。
这个虚假的微软页面利用由 Tycoon 网络钓鱼即服务 (PhaaS) 平台提供支持的中间人 (AitM) 网络钓鱼技术来获取受害者的凭证和 MFA 代码。
就在上个月，Proofpoint 表示，它检测到了另一个冒充 Adobe 的活动，其中的电子邮件通过电子邮件营销平台 Twilio SendGrid 发送，并且具有相同的目标：获取用户授权或触发取消流程，将受害者重定向到网络钓鱼页面。
与 Tycoon 相关的整体活动相比，此次攻击活动只是九牛一毛，因为有多个集群利用该工具包执行帐户接管攻击。仅在 2025 年，就观察到了试图入侵帐户的攻击，影响了 900 多个 Microsoft 365 环境中的近 3,000 个用户帐户。
该公司表示：“威胁行为者正在创建越来越创新的攻击链，试图绕过检测并获取全球组织的访问权限。”并补充说，“预计威胁行为者将越来越多地瞄准用户身份，而 AiTM 凭证网络钓鱼将成为犯罪行业标准。”
截至上个月，微软已宣布计划更新默认设置，通过阻止旧式身份验证协议并要求第三方应用访问时获得管理员同意来提高安全性。更新预计将于 2025 年 8 月完成。
Proofpoint 指出：“此次更新将对整体形势产生积极影响，并将阻碍使用这种技术的威胁行为者。”
此次披露是在微软决定在 2025 年 10 月至 2026 年 7 月期间默认禁用指向被阻止文件类型的外部工作簿链接之后做出的，旨在增强工作簿的安全性。
Seqrite表示，调查结果还显示，带有所谓付款收据的鱼叉式网络钓鱼电子邮件被用来通过基于 AutoIt 的注入器部署一种名为VIP Keylogger的 .NET 恶意软件，该恶意软件可以从受感染的主机窃取敏感数据。

身份安全风险评估
在过去几个月的时间里，研究人员发现垃圾邮件活动会将远程桌面软件的安装链接隐藏在PDF文件中，以绕过电子邮件和恶意软件的防御措施。据信，该活动自2024年11月以来一直在进行，主要针对法国、卢森堡、比利时和德国的实体。
WithSecure表示： “这些 PDF 文件通常会被伪装成发票、合同或房产清单，以增强可信度，并诱使受害者点击嵌入的链接。这种设计旨在营造出内容被模糊处理的合法假象，从而诱使受害者安装某个程序。在本例中，该程序就是 FleetDeck RMM。”
作为活动集群的一部分部署的其他远程监控和管理 (RMM) 工具包括 Action1、OptiTune、Bluetrait、Syncro、SuperOps、Atera 和 ScreenConnect。
这家芬兰公司补充道：“虽然目前尚未观察到感染后的有效载荷，但 RMM 工具的使用强烈表明它们充当了初始访问媒介，可能助长进一步的恶意活动。勒索软件运营商尤其青睐这种方法。”