微软365账户遭OAuth装备代码垂纶攻击激增

首页 > 清静研究 > 清静转达 > 清静简讯

微软365账户遭OAuth装备代码垂纶攻击激增

宣布时间 2025-12-23

1. 微软365账户遭OAuth装备代码垂纶攻击激增

12月19日，自9月起，电子邮件清静公司Proofpoint监测到使用OAuth装备代码授权机制的网络垂纶攻击显著增添，攻击者通过诱骗受害者在微软正当装备登录页面输入装备代码，无需窃取凭证或绕过多重身份验证（MFA）即可获取Microsoft 365账户控制权。此类攻击不但涉及经济利益驱动的网络犯法分子如TA2723，还包括国家结盟的威胁行为者如疑似俄罗斯关联的UNK_AcademicFlare。攻击链通常通过垂纶邮件诱导受害者点击链接会见攻击者控制的网站，随后要求输入“装备代码”完成“清静验证”，实则授权恶意应用程序会见账户。Proofpoint视察到攻击者使用SquarePhish v1/v2和Graphish等工具简化垂纶流程。例如，薪资奖励攻击使用文档共享诱饵和外地化品牌标识引诱点击；TA2723自10月起转向此类攻击，早期使用SquarePhish2，后期可能切换至Graphish；UNK_AcademicFlare则使用被入侵的政府/军方邮箱建设信托，通过伪造OneDrive链接诱导装备代码输入，主要针对美欧政府、学术、智库及交通部分。

https://www.bleepingcomputer.com/news/security/microsoft-365-accounts-targeted-in-wave-of-oauth-phishing-attacks/

2. 河床竞技俱乐部遭麒麟勒索软件攻击

12月21日，阿根廷河床竞技俱乐部（CARP）于周五遭遇麒麟勒索软件组织攻击，该组织将其列为“会计服务”受害者并宣布包括数千份文件的洋葱链接。文件类型涵盖PDF、Excel、Word、图像、电子邮件及压缩存档，单文件巨细从1KB至22MB不等，时间跨度为2021至2025年，涉及发票、条约、手艺规范、修建平面图等敏感内容，甚至包括信用卡账单和采购订单样本。河床作为阿根廷最乐成足球队（72冠），拥有35万会员及南美洲最大球场，其青少年部分最小队员仅7岁，此次攻击袒露出体育机构网络清静误差。麒麟勒索软件自2021年活跃，2022年首次纪录攻击，2025年成为最活跃团伙，已往半年发动超600起攻击。该组织接纳“勒索软件即服务（RaaS）”模式，实验双重勒索。其攻击目的涵盖制造商、金融机构、医疗保健及政府机构，因这些行业存储敏感信息易受数据泄露影响。

https://cybernews.com/news/club-atletico-river-plate-football-club-qilin-ransomware/

3. 法国邮政局圣诞前夕遭DDoS攻击致多营业瘫痪

12月23日，圣诞前夕，法国国家邮政局（La Poste）遭遇大规模DDoS攻击，导致其网站、移动应用及焦点数字系统瘫痪，包裹配送服务显著放缓，部分在线营业中止。该局在周一声明中确认，此次网络攻击造成系统性故障，但强调现在无证据显示用户数据泄露，仅认可邮政及银行营业（如包裹配送、银行转账）受波及。旗下法国邮政银行（La Banque Postale）同步受影响，用户反应网上银行及移动应用会见难题，不过银行方面澄清，实体网点POS机刷卡、ATM取款及短信验证的在线支付功效仍正常运作，柜台营业亦一连开放。此次攻击恰逢邮政营业岑岭期，引发用户强烈不满。社交媒体上，大宗民众诉苦配送延迟可能导致圣诞包裹无法实时送达，法国媒体亦报道部分邮局因系统故障拒绝用户寄件或取件请求。只管部分邮局已缩减运营规模，但邮政局强调“团队全员发动加速服务恢复”，用户仍可通过柜台治理邮政及银行营业。

https://therecord.media/la-poste-france-ddos-disruption-days-before-christmas

4. 罗马尼亚国家水务机构遭勒索软件攻击

12月22日，罗马尼亚国家水务治理机构于克日遭遇勒索软件攻击，导致约1000台盘算机系统瘫痪，事情站与服务器无法使用，但焦点水利手艺基础设施如大坝、防洪设施未受影响。此次攻击迫使员工放弃电子邮件通讯，转而使用电话和无线电举行内部协调，凸显了网络攻击对一样平常运营的滋扰。值得注重的是，攻击者接纳了与古板勒索软件差别的手艺手段，使用正当Windows工具BitLocker实验加密勒索。这种被称为“LOLBins”（Living-off-the-Land Binaries）的战术，通过挪用系统自带工具（如BitLocker）在受害者网络中横向移动并规避清静检测，增添了防御难度�？ò退够笛槭�2024年研究显示，墨西哥、印度尼西亚、约旦的钢铁企业、疫苗制造商及政府机构曾遭遇类似攻击；网络清静公司Bitdefender也指出，“ShrinkLocker”恶意软件正被多个威胁组织用于针对老旧Windows系统的简朴攻击，通过剧本化操作正当工具实现勒索目的。

https://therecord.media/romania-national-water-agency-ransomware-attack

5. 日产汽车陷红帽数据泄露风波，2.1万客户信息遭窃

12月22日，日产汽车有限公司克日证实，因美国企业软件公司红帽（Red Hat）9月爆发的数据泄露事务，其约21,000名日本福冈地区客户信息被窃取，涉及全名、物理地点、电话号码、电子邮件地点及销售运营数据，但信用卡等财务信息未受波及。此次事务源于红帽公司数据服务器遭未经授权会见，导致日产委托其开发的客户治理系统数据泄露，成为日产今年第二起网络清静事务，此前8月，其设计子公司Creative Box Inc.曾遭麒麟勒索软件攻击。红帽数据泄露事务影响深远，涉及28,000个私有GitLab存储库，敏感数据达数百GB。黑客组织Crimson Collective最初宣称对此认真，随后ShinyHunters也介入其中，在勒索平台托管被盗数据样本以施压受害公司。日产强调，被入侵的红帽情形未存储其他数据，且无证据批注泄露信息已被滥用，但已引发客户对隐私清静的担心。

https://www.bleepingcomputer.com/news/security/nissan-says-thousands-of-customers-exposed-in-red-hat-breach/

6. 伊朗APT组织Infy携新的恶意软件运动重现

12月21日，威胁情报机构SafeBreach披露，伊朗Infy（又称Prince of Persia）APT组织近期重启活跃，这是该组织自2020年针对瑞典、荷兰、土耳其目的后首次大规模现身。作为现存最古老的APT之一，Infy运动可追溯至2004年12月，其隐藏性恒久高于Charming Kitten等着名伊朗组织，但此次行动展现更重大的攻击链升级。最新攻击中，Infy使用升级版Foudre下载器与Tonnerre植入程序，通过垂纶邮件撒播。攻击链从古板Excel宏转向文档内嵌可执行文件，团结域名天生算法（DGA）强化C2服务器韧性。尤为值得注重的是，恶意软件通过RSA署名验证C2域名真实性。2025年9月检测Tonnerre最新版本新增Telegram群组通讯机制，相关设置存储在C2服务器“t”目录的tga.adr文件中，仅对特定受害者GUID触发下载。别的，C2服务器保存未知用途的“download”目录，推测用于恶意软件升级。

https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究