俄罗斯关联黑客利用 Microsoft 365 设备代码钓鱼进行账户劫持

据悉，一个与俄罗斯关联的组织被认定为发起了一场使用设备代码认证工作流的网络钓鱼活动，旨在窃取受害者的 Microsoft 365 凭证并实施账户劫持攻击。

该活动自 2025 年 9 月起持续进行，已被 Proofpoint 以代号 UNK_AcademicFlare 进行追踪。

攻击者利用被攻陷的政府和军方电子邮件地址，对美国和欧洲的政府部门、智库、高等教育机构以及交通行业的目标发起攻击。

“通常，这些被泄露的电子邮件地址被用于进行与目标专业领域相关的善意接触和关系建立，最终安排一次虚构的会议或采访，”

表示。

作为这些手法的一部分，攻击者声称会分享一个包含会议前需审阅的问题或议题的文档链接。该 URL 指向一个模仿被攻陷发送者 Microsoft OneDrive 账户的 Cloudflare Worker 地址，并指示受害者复制提供的代码并点击“下一步”以访问所谓的文档。

然而，这一步会将用户重定向到合法的 Microsoft 设备代码登录页面，受害者在输入先前提供的代码后，服务会生成访问令牌，三名攻击者随后可获取该令牌并控制受害者账户。

设备代码钓鱼在 2025 年 2 月由 Microsoft 与 Volexity 详细记录，归因于与俄罗斯关联的群体如 Storm-2372、APT29、UTA0304 与 UTA0307。过去几个月，

与 警告称俄罗斯威胁行为者持续利用设备代码认证流程发起攻击。

Proofpoint 表示，鉴于该组织针对多家智库的俄罗斯专题专家以及乌克兰政府和能源部门的目标，UNK_AcademicFlare 很可能是一个与俄罗斯对齐的威胁行为者。

公司数据显示，多种威胁行为者，无论是国家对齐还是以利益为驱动，都采纳了此钓鱼手法诱骗用户泄露 Microsoft 365 账户访问权限。其中包括一个名为 TA2723 的网络犯罪组织，他们在钓鱼邮件中使用与工资相关的诱饵，引导用户访问伪造的登录页面并触发设备代码授权。

2025 年 10 月的攻击活动被评估为受益于如 Graphish 钓鱼套件以及 Red‑Team 工具 SquarePhish 等犯罪软件的易得性。

“类似于 SquarePhish，[Graphish] 工具设计友好且不需要高级技术专长，降低了入门门槛，使得技术水平低的威胁行为者也能发起复杂的钓鱼攻击，”

说。“最终目标是未经授权访问敏感的个人或组织数据，以便进行凭证窃取、账户劫持及进一步的渗透。”

为应对设备代码钓鱼的风险，最佳做法是使用条件访问策略并在“Authentication Flows”条件中阻止所有用户的设备代码流。如果无法实现，建议采用白名单方式，仅对已批准的用户、操作系统或 IP 范围允许设备代码认证。