駭客利用偽造 OAuth 應用程式繞過 MFA，成功率超過 50%

資安公司 Proofpoint 最新研究報告揭露，網路犯罪分子正利用偽造的 Microsoft OAuth 應用程式進行大規模帳戶接管攻擊，即使在啟用多重身分驗證（MFA）的情況下，攻擊成功率仍高達 50%。

攻擊規模與威脅程度

Proofpoint 研究人員指出，僅在 2025 年，已觀察到近 3,000 個使用者帳戶遭受攻擊嘗試，影響超過 900 個 Microsoft 365 環境，確認成功率超過 50%。這項統計數據凸顯了此類攻擊的嚴重威脅性。

該攻擊活動首次於 2025 年初被發現，攻擊者冒充各種知名企業，包括 RingCentral、SharePoint、Adobe 和 DocuSign 等，透過 Tycoon 和 ODx 等釣魚工具包進行憑證收集。

精密的多階段攻擊流程

第一階段：釣魚郵件誘導
攻擊從精心設計的釣魚郵件開始，通常從遭入侵的帳戶發送，內容涉及報價請求（RFQ）或商業合約協議，誘騙收件人點擊惡意連結。

第二階段：OAuth 應用程式授權
點擊連結後，受害者會被導向 Microsoft OAuth 頁面，顯示名為「iLSMART」的應用程式，並冒充合法的航空、海事和國防相關的線上服務，要求授權查看基本個人資料並維持對已授權資料的持續存取權限。

研究人員特別指出：「這些應用程式的權限對攻擊者的直接用途有限，但用於設置攻擊的下一階段。」

第三階段：中間人攻擊
無論受害者接受或拒絕權限請求，都會先被重定向到 CAPTCHA 頁面，然後導向偽造的 Microsoft 帳戶驗證頁面。這個假冒頁面採用中間人（AitM）釣魚技術，由 Tycoon 釣魚即服務（PhaaS）平台提供支援，用於收集受害者的憑證和 MFA 代碼。

研究人員識別出超過 50 個冒充應用程式，其中包括 4 個冒充 Adobe 應用程式、5 個冒充 DocuSign，以及其他使用不同獨特名稱的應用程式。

最近一個月，Proofpoint 還偵測到另一個冒充 Adobe 的攻擊活動，透過電子郵件行銷平台 Twilio SendGrid 發送郵件，目標同樣是獲取使用者授權或觸發取消流程，將受害者重定向到釣魚頁面。除了 Tycoon 工具包外，攻擊者還利用多種遠端監控管理（RMM）工具，包括 Action1、OptiTune、Bluetrait、Syncro、SuperOps、Atera、ScreenConnect 和 FleetDeck RMM 等。

Microsoft 回應措施

為應對這些威脅，Microsoft 已宣布計劃更新 Microsoft 365 的預設設定。該公司預計在 2025 年 8 月完成的更新將阻止舊版驗證協定，要求第三方應用程式存取需要管理員同意，並在 2025 年 10 月至 2026 年 7 月間預設停用外部活頁簿連結到被封鎖的檔案類型。

Proofpoint 指出：「這項更新將對整體安全環境產生正面影響，並將削弱使用此技術的威脅行為者。」

防護建議

組織應實施管理員核准制度來控制第三方應用程式存取權限，強化電子郵件安全防護以識別和攔截釣魚郵件，定期檢視已授權的 OAuth 應用程式清單，並建立使用者安全意識培訓計劃。

使用者則需要仔細檢查 OAuth 授權請求的應用程式名稱和權限，在提供認證憑證前務必驗證網域的合法性，對於可疑的商業郵件保持警覺，並避免點擊來源不明的連結。

Proofpoint 研究人員警告：「威脅行為者正在創新攻擊鏈，試圖繞過偵測並獲得對全球組織的存取權限。我們預期威脅行為者將更加鎖定使用者身分，中間人憑證釣魚將成為犯罪產業標準模式。」