新駭客基礎架構出現,加速裝置碼釣魚、竊取Microsoft 365權杖
來源: iThome | ID: 414 | https://www.ithome.com.tw/news/175885 發布日期: 2026-05-18
摘要
Proofpoint 研究人員發現新型駭客基礎架構,透過隨需動態產生裝置碼(on-demand device code),大幅提升 OAuth 2.0 裝置碼釣魚攻擊成功率,目標為竊取 Microsoft 365 存取權杖。
攻擊原理:裝置碼釣魚(Device Code Phishing)
- 濫用 OAuth 2.0 裝置授權流程
- 攻擊流程:發送郵件/QR Code → 誘使受害者點擊 → 觸發裝置代碼輸入 → 暗中將 Microsoft token 傳給攻擊者
- 成功後攻擊者可直接存取 M365/Outlook,無需再過 MFA
- 危害:帳號接管、資料竊取、BEC 詐騙、橫向移動
新型攻擊基礎架構特點
| 舊式手法 | 新式手法 |
|---|---|
| 攻擊者預先產生裝置碼 | 隨需(on-demand)動態產生 |
| 15分鐘過期風險高 | 用戶點擊後才生成,提高成功率 |
EvilTokens PhaaS 平台
- 2026年2月 首現於 Telegram
- 以 vibe coding(AI生成技術) 建立與維護
- 提供多種登入頁主題:微軟、Adobe、DocuSign
- 附屬功能:Portal Browser — 自動化管理多個被駭 M365 帳號,用於擴大 BEC 攻擊
- 2026年4月觀察到 7個不同 EvilTokens 變種
威脅態勢
- TA4903 組織於3月利用此手法竊取 M365 憑證進行 BEC
- 少數攻擊亦以 Google 憑證為目標
- 類似平台:Tycoon(PhaaS)
防禦建議
- 透過條件式存取政策(Conditional Access Policy)封鎖所有使用者的裝置碼驗證流
- 或建立白名單,僅允許特定使用者/作業系統/IP 啟用裝置碼驗證
衍生頁面
- EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖 — 主要事件概念頁
- microsoft-365 — 目標平台