Tycoon 2FA 改用 OAuth 裝置碼網釣攻擊 M365 帳號

概述

Tycoon 2FA 原為知名的 AiTM(Adversary-in-the-Middle)PhaaS 平台,以截取 MFA cookie 著稱。2026年3月遭 Europol 聯合六國執法機構查封 330 個網域名稱後,駭客快速轉型,4月起改採 OAuth 裝置驗證碼(Device Code) 網釣手法攻擊 Microsoft 365 帳號。

新手法特點

  • 不詢問密碼:完全依賴 OAuth 裝置碼授權流程,比傳統 AiTM 更難偵測
  • Trustifi 追蹤器:利用合法電子郵件行銷服務 Trustifi 的點擊追蹤功能產生釣魚 URL,提升可信度
  • 偽裝合法應用:冒充 Microsoft Authentication Broker 的 OAuth 用戶端,在 Entra 遙測中顯示為正常微軟應用活動
  • Cloudflare Workers 轉址:多層轉址增加分析難度

攻擊流程

  1. 偽造發票通知郵件 → Trustifi 追蹤連結
  2. Cloudflare Workers 多層轉址
  3. 導至合法 microsoft.com/devicelogin 頁面
  4. 受害者輸入攻擊者控制的裝置碼,完成 OAuth 授權
  5. 攻擊者取得 Token,可存取 Exchange Online、Microsoft Graph、OneDrive for Business
  6. 成功後導回真實 Outlook 收件匣(掩蓋攻擊痕跡)

執法行動背景

  • 2026年3月,Europol 與六國執法機構、13家企業合作,查封 Tycoon 2FA 330個網域名稱
  • 駭客僅約一個月後即完成技術轉型並重新活躍

與 EvilTokens 的關聯

Tycoon 2FA 新手法與 EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖 採用相似的 OAuth 裝置碼技術,顯示此攻擊向量在地下市場日益普及。兩者皆針對 M365,防禦措施相同。

防禦建議

  • 實作 Entra 條件存取政策,封鎖裝置碼驗證流
  • 停用終端使用者 OAuth 裝置驗證流程
  • 限制使用者自行授權 OAuth 應用程式
  • 所有第三方 OAuth 應用程式須經管理員核准

來源文章

相關頁面