设备代码钓鱼攻击席卷340多个Microsoft 365组织,波及五个国家
网络安全研究人员正在关注一场活跃的设备代码钓鱼活动,该活动针对美国、加拿大、澳大利亚、新西兰和德国的340多个组织的Microsoft 365身份。
据Huntress称,该活动于2026年2月19日首次被发现,此后案例以加速的速度出现。值得注意的是,该活动利用Cloudflare Workers重定向,将捕获的会话重定向到名为Railway的平台即服务(PaaS)产品上托管的基础设施,有效地将其转变为凭证收集引擎。
建筑、非营利组织、房地产、制造、金融服务、医疗保健、法律和政府是该活动针对的一些主要行业。
"这场活动之所以不同寻常,不仅在于所涉及的设备代码钓鱼技术,还在于观察到的各种技术,"该公司表示。"建筑投标诱饵、登陆页面代码生成、DocuSign冒充、语音邮件通知以及滥用Microsoft Forms页面都通过相同的Railway.com IP基础设施攻击同一受害者群体。"
什么是设备代码钓鱼?
设备代码钓鱼是一种利用OAuth设备授权流程的技术,旨在向攻击者授予持久的访问令牌,然后可用于控制受害者账户。这种攻击方法的显著特点是,即使重置账户密码后,令牌仍然有效。
攻击流程
攻击的高级流程如下:
- 威胁行为者通过合法的设备代码API从身份提供商(例如Microsoft Entra ID)请求设备代码
- 服务响应一个设备代码
- 威胁行为者创建一封有说服力的电子邮件发送给受害者,敦促他们访问登录页面("microsoft.com/devicelogin")并输入设备代码
- 受害者输入提供的代码以及他们的凭证和双因素认证(2FA)代码后,服务为用户创建访问令牌和刷新令牌
"一旦用户成为钓鱼的受害者,他们的认证就会生成一组现在驻留在OAuth令牌API端点的令牌,可以通过提供正确的设备代码来检索,"Huntress解释道。"攻击者当然知道设备代码,因为它是由对设备代码登录API的初始cURL请求生成的。"
Railway基础设施
在Huntress检测到的活动中,认证滥用源自一小群Railway.com IP地址,其中三个地址约占观察到的事件的84%:
- 162.220.234.41
- 162.220.234.66
- 162.220.232.57
- 162.220.232.99
- 162.220.232.235
攻击起点
攻击的起点是一封钓鱼邮件,它将恶意URL包装在来自Cisco、Trend Micro和Mimecast的合法安全供应商重定向服务中,以绕过垃圾邮件过滤器并触发多跳重定向链,其中包含受损站点、Cloudflare Workers和Vercel的组合作为中介,然后将受害者带到最终目的地。
"观察到的登陆站点提示受害者继续前往合法的Microsoft设备代码认证端点并输入提供的代码以读取某些文件,"Huntress说。"代码在受害者到达页面时直接渲染在页面上。"
EvilTokens平台
Huntress此后将Railway攻击归因于一个名为EvilTokens的新钓鱼即服务(PhaaS)平台,该平台上个月在Telegram上首次亮相。除了宣传发送钓鱼邮件和绕过垃圾邮件过滤器的工具外,EvilTokens仪表板还为客户提供易受攻击域名的开放重定向链接以混淆钓鱼链接。
防护建议
为应对这一威胁,建议用户:
- 扫描登录日志以查找Railway IP登录
- 撤销受影响用户的所有刷新令牌
- 如果可能,阻止来自Railway基础设施的认证尝试
来源: The Hacker News (2026年3月25日)