专门窃取M365令牌的网络钓鱼工具包并非新鲜事物,有报告显示这类工具自2021年就已存在。最新出现的EvilTokens工具包据Sekoia研究人员称自今年2月开始传播。本月初,微软也发出警告称发现中间人钓鱼攻击窃取身份验证令牌,以及利用OAuth协议功能操纵URL重定向以规避传统钓鱼防御的攻击活动。
降低攻击门槛 美国联邦调查局(FBI)上周警告称,新型Kali365钓鱼即服务平台"显著降低了攻击门槛,使技术能力有限的攻击者也能获取AI生成的钓鱼诱饵、自动化攻击模板、实时目标追踪面板及OAuth令牌窃取功能"。
4月24日,安全厂商Arctic Wolf检测到某威胁组织使用Kali365服务发起的大规模设备代码钓鱼攻击。四天后,Gurucul研究人员补充警告称Kali365工具包"正迅速成为威胁组织的首选武器"。这两种平台都诱骗员工在合法微软登录页面输入代码,从而使攻击者窃取OAuth令牌。
Gurucul向首席安全官们强调:"[Kali365]标志着攻击模式向高度专业化转变。这已非单打独斗的黑客行为,而是完整的商业犯罪运作,旨在降低全球犯罪分子的入行门槛。通过提供现成的欺骗基础设施,该工具包让新手攻击者也具备了复杂攻击能力。"
超越"检查清单式"MFA部署 企业应将此视为警示,将钓鱼检测纳入全员安全意识培训的核心内容。
加拿大事件响应公司Digital Defence首席执行官Robert Beggs指出:"FBI的警告提醒我们,多因素认证已不再是安全保障的单一要素。企业必须超越'打勾式'部署,转向纵深防御策略。"具体措施包括:通过条件访问限制微软OAuth设备代码验证流程、主动撤销OAuth令牌、监控异常设备注册及恶意收件箱规则。
专业化的攻击模式 Kali365服务提供模板、管理面板和集成工具,订阅者每月支付250美元(全年2000美元)即可降低实施大规模攻击的技术门槛。
Arctic Wolf发现,订阅者可快速生成仿冒Adobe Acrobat Sign、DocuSign等企业服务的钓鱼页面。该服务采用模块化诱饵生成系统,支持混合语言本地化、界面布局、微软生态仿冒等要素,可生成英语、中文等15种语言的数百种变体。
Beggs特别指出,若AI经过客户业务场景训练并输入正确文化语境,生成的钓鱼文档将极具欺骗性,在大规模攻击中难以识别。攻击者还利用8种固定邮件模板,主题含"语音邮件通知"、"待签署文件"等常见商务用语。
更隐蔽的是,攻击者在入侵后会创建恶意收件箱规则,将含"钓鱼"、"链接"等关键词的邮件自动移至特定文件夹并标记为已读,从而压制安全告警。在设备代码模式下,受害者会被重定向至经过混淆的着陆页面,Kali365后端随即动态生成合法的微软OAuth设备代码。
FBI解释称,攻击者诱导受害者将生成的代码输入正规微软验证页面,从而获取账户访问权限。窃取的OAuth令牌可使攻击者长期访问Outlook、Teams等M365服务,直至令牌被撤销。Arctic Wolf还观察到,攻击者常利用合法会话在受害者环境中注册新设备,通过建立可信设备关联延长访问权限。
缓解措施 FBI建议M365管理员采取以下措施:
限制设备代码流使用,仅保留必要业务流程的例外 创建条件访问策略前审计现有设备代码流依赖关系 阻止认证转移策略以防跨设备认证滥用 《社交工程网络犯罪》作者Christopher Kayser强调,IT部门需教育员工对异常通信保持警惕,特别是涉及代码输入的请求应视为危险信号。值得注意的是,拥有资金审批权限的高管更是商业邮件诈骗(BEC)的重点目标。
身份中心安全成关键 Info-Tech Research Group首席网络安全顾问Fritz Jean-Louis建议转向身份中心安全策略:
部署抗钓鱼MFA(如FIDO2认证) 强化会话控制与异常认证行为监控 实施持续访问评估机制 整合用户行为信号与人工遥测数据 通过出站监控和自动遏制机制缩小攻击影响范围 对高管、财务等高风险角色实施增强控制与隔离环境
