黑客正拿设备代码钓鱼当武器,短短一个月就撬开了美国、加拿大、澳大利亚、新西兰、德国五个国家的340多家微软365组织。Huntress团队2月19日首次捕捉到这波攻击,之后节奏明显加快。
攻击核心靠OAuth设备授权流。攻击者先用curl向微软Entra ID要一个设备代码,然后把这个代码塞进钓鱼邮件,诱导受害者去microsoft[.]com/devicelogin页面输入。用户一输密码加2FA,攻击者就拿到访问令牌和刷新令牌。这些令牌就算用户改了密码也照样有效,直接实现持久化控制。
这次战役最狠的地方在于多点开花。建筑投标诱饵、DocuSign假冒、语音邮件通知、滥用微软Forms页面,全都指向同一个受害者池。最终落脚点几乎清一色是Cloudflare Workers生成的workers[.]dev域名,后面再接Railway平台的PaaS基础设施。Railway.com的五个IP里,162.220.234.41、162.220.234.66、162.220.232.57这三个就占了84%的认证事件。
钓鱼邮件包装得极聪明。先裹一层Cisco、Trend Micro、Mimecast这些安全厂商的跳转服务,再经过被攻陷站点、Cloudflare Workers、Vercel多跳,最后才到受害者眼前。落地页直接把设备代码渲染出来,用户一打开就能看到,不用等攻击者手动发。页面还有个“Continue to Microsoft”按钮,点下去弹窗就是正宗的微软登录界面,用户根本没理由起疑。
Huntress把这波攻击归因于一个刚冒头一个月的钓鱼即服务平台——EvilTokens。上个月它才在Telegram上线,除了卖发邮件工具、绕过垃圾邮件过滤器,还提供开放重定向链接帮客户藏真实钓鱼地址。平台甚至配了24/7客服和反馈频道,生意做得有模有样。
类似手法并非第一次出现。2025年2月微软和Volexity就观察到早期案例,后来Amazon Threat Intelligence、Proofpoint也陆续记录到多波攻击。俄罗斯背景的Storm-2372、APT29、UTA0304、UTA0307、UNK_AcademicFlare等团伙都玩过这招。核心优势就是全程借用微软合法基础设施,用户看不出破绽。
Palo Alto Networks Unit 42同期也警告了另一波设备代码钓鱼。他们观察到的页面会禁用右键、文本选中、拖拽,封掉F12、Ctrl+Shift+I等开发者工具快捷键,还用窗口尺寸检测开发者工具,一旦触发就无限debugger循环,防分析能力拉满。最早记录时间是2月18日,比Huntress早一天。
受影响行业覆盖面广。建筑、非营利组织、房地产、制造、金融服务、医疗、律所、政府部门都在名单里。攻击者显然不是挑软柿子捏,而是广撒网。
防御端,Huntress给出了三条硬建议:翻查登录日志里有没有Railway IP的痕迹,对中招账号一次性撤销所有刷新令牌,条件允许就直接封掉来自Railway基础设施的认证请求。做不到就至少把这些IP加入监控白名单重点盯。
眼下加密市场整体波动不大。BTC现报$71,403(24h +0.74%),ETH现报$2,174(24h +0.53%)。但企业身份安全这块的警报已经拉响。设备代码钓鱼把OAuth流程玩成了 credential harvesting 流水线,传统密码重置、2FA都挡不住。组织必须把刷新令牌管理当成日常卫生习惯,否则下一次中招的可能就是自家。
攻击链条还在演化,EvilTokens这类PhaaS平台把门槛越拉越低。普通员工一点击,背后就是持久访问令牌被悄无声息拿走。安全团队再不能只盯着邮件网关,得把视线拉到OAuth日志、异常IP登录这些更细的层面。否则340+组织的教训,很快就会变成更多公司的现实。