微软365账户遭OAuth设备代码钓鱼攻击激增
发布时间 2025-12-231. 微软365账户遭OAuth设备代码钓鱼攻击激增
12月19日,自9月起,电子邮件安全公司Proofpoint监测到利用OAuth设备代码授权机制的网络钓鱼攻击显著增加,攻击者通过诱骗受害者在微软合法设备登录页面输入设备代码,无需窃取凭据或绕过多重身份验证(MFA)即可获取Microsoft 365账户控制权。此类攻击不仅涉及经济利益驱动的网络犯罪分子如TA2723,还包含国家结盟的威胁行为者如疑似俄罗斯关联的UNK_AcademicFlare。攻击链通常通过钓鱼邮件诱导受害者点击链接访问攻击者控制的网站,随后要求输入“设备代码”完成“安全验证”,实则授权恶意应用程序访问账户。Proofpoint观察到攻击者使用SquarePhish v1/v2和Graphish等工具简化钓鱼流程。例如,薪资奖励攻击利用文档共享诱饵和本地化品牌标识引诱点击;TA2723自10月起转向此类攻击,早期使用SquarePhish2,后期可能切换至Graphish;UNK_AcademicFlare则利用被入侵的政府/军方邮箱建立信任,通过伪造OneDrive链接诱导设备代码输入,主要针对美欧政府、学术、智库及交通部门。
https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/
2. 河床竞技俱乐部遭麒麟勒索软件攻击
12月21日,阿根廷河床竞技俱乐部(CARP)于周五遭遇麒麟勒索软件组织攻击,该组织将其列为“会计服务”受害者并发布包含数千份文件的洋葱链接。文件类型涵盖PDF、Excel、Word、图像、电子邮件及压缩存档,单文件大小从1KB至22MB不等,时间跨度为2021至2025年,涉及发票、合同、技术规范、建筑平面图等敏感内容,甚至包含信用卡账单和采购订单样本。河床作为阿根廷最成功足球队(72冠),拥有35万会员及南美洲最大球场,其青少年部门最小队员仅7岁,此次攻击暴露出体育机构网络安全漏洞。麒麟勒索软件自2021年活跃,2022年首次记录攻击,2025年成为最活跃团伙,过去半年发动超600起攻击。该组织采用“勒索软件即服务(RaaS)”模式,实行双重勒索。其攻击目标涵盖制造商、金融机构、医疗保健及政府机构,因这些行业存储敏感信息易受数据泄露影响。
https://cybernews.com/news/club-atletico-river-plate-football-club-qilin-ransomware/
3. 法国邮政局圣诞前夕遭DDoS攻击致多业务瘫痪
12月23日,圣诞前夕,法国国家邮政局(La Poste)遭遇大规模DDoS攻击,导致其网站、移动应用及核心数字系统瘫痪,包裹配送服务显著放缓,部分在线业务中断。该局在周一声明中确认,此次网络攻击造成系统性故障,但强调目前无证据显示用户数据泄露,仅承认邮政及银行业务(如包裹配送、银行转账)受波及。旗下法国邮政银行(La Banque Postale)同步受影响,用户反映网上银行及移动应用访问困难,不过银行方面澄清,实体网点POS机刷卡、ATM取款及短信验证的在线支付功能仍正常运作,柜台业务亦持续开放。此次攻击恰逢邮政业务高峰期,引发用户强烈不满。社交媒体上,大量民众抱怨配送延迟可能导致圣诞包裹无法及时送达,法国媒体亦报道部分邮局因系统故障拒绝用户寄件或取件请求。尽管部分邮局已缩减运营规模,但邮政局强调“团队全员动员加速服务恢复”,用户仍可通过柜台办理邮政及银行业务。
https://therecord.media/la-poste-france-ddos-disruption-days-before-christmas
4. 罗马尼亚国家水务机构遭勒索软件攻击
12月22日,罗马尼亚国家水务管理机构于近日遭遇勒索软件攻击,导致约1000台计算机系统瘫痪,工作站与服务器无法使用,但核心水利技术基础设施如大坝、防洪设施未受影响。此次攻击迫使员工放弃电子邮件通信,转而使用电话和无线电进行内部协调,凸显了网络攻击对日常运营的干扰。值得注意的是,攻击者采用了与传统勒索软件不同的技术手段,利用合法Windows工具BitLocker实施加密勒索。这种被称为“LOLBins”(Living-off-the-Land Binaries)的战术,通过调用系统自带工具(如BitLocker)在受害者网络中横向移动并规避安全检测,增加了防御难度。卡巴斯基实验室2024年研究显示,墨西哥、印度尼西亚、约旦的钢铁企业、疫苗制造商及政府机构曾遭遇类似攻击;网络安全公司Bitdefender也指出,“ShrinkLocker”恶意软件正被多个威胁组织用于针对老旧Windows系统的简单攻击,通过脚本化操作合法工具实现勒索目的。
https://therecord.media/romania-national-water-agency-ransomware-attack
5. 日产汽车陷红帽数据泄露风波,2.1万客户信息遭窃
12月22日,日产汽车有限公司近日证实,因美国企业软件公司红帽(Red Hat)9月发生的数据泄露事件,其约21,000名日本福冈地区客户信息被窃取,涉及全名、物理地址、电话号码、电子邮件地址及销售运营数据,但信用卡等财务信息未受波及。此次事件源于红帽公司数据服务器遭未经授权访问,导致日产委托其开发的客户管理系统数据泄露,成为日产今年第二起网络安全事件,此前8月,其设计子公司Creative Box Inc.曾遭麒麟勒索软件攻击。红帽数据泄露事件影响深远,涉及28,000个私有GitLab存储库,敏感数据达数百GB。黑客组织Crimson Collective最初宣称对此负责,随后ShinyHunters也介入其中,在勒索平台托管被盗数据样本以施压受害公司。日产强调,被入侵的红帽环境未存储其他数据,且无证据表明泄露信息已被滥用,但已引发客户对隐私安全的担忧。
https://www.bleepingcomputer.com/news/security/nissan-says-thousands-of-customers-exposed-in-red-hat-breach/
6. 伊朗APT组织Infy携新的恶意软件活动重现
12月21日,威胁情报机构SafeBreach披露,伊朗Infy(又称Prince of Persia)APT组织近期重启活跃,这是该组织自2020年针对瑞典、荷兰、土耳其目标后首次大规模现身。作为现存最古老的APT之一,Infy活动可追溯至2004年12月,其隐蔽性长期高于Charming Kitten等知名伊朗组织,但此次行动展现更复杂的攻击链升级。最新攻击中,Infy使用升级版Foudre下载器与Tonnerre植入程序,通过钓鱼邮件传播。攻击链从传统Excel宏转向文档内嵌可执行文件,结合域名生成算法(DGA)强化C2服务器韧性。尤为值得注意的是,恶意软件通过RSA签名验证C2域名真实性。2025年9月检测Tonnerre最新版本新增Telegram群组通信机制,相关配置存储在C2服务器“t”目录的tga.adr文件中,仅对特定受害者GUID触发下载。此外,C2服务器存在未知用途的“download”目录,推测用于恶意软件升级。
https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
京公网安备11010802024551号