攻擊者利用結合ClickFix社交工程與OAuth同意授權的ConsentFix手法,在瀏覽器端自動化挾持使用者微軟帳號,進而入侵Azure環境。此攻擊不需接觸作業系統,難以被傳統防毒軟體偵測,已遭俄羅斯駭客組織APT29實際運用。
🔍 防詐解析
攻擊者透過精心設計的釣魚郵件或連結,誘導受害者點擊並開啟瀏覽器,利用ClickFix技術在瀏覽器內執行惡意腳本,隨後誘騙使用者點擊OAuth授權同意,從而合法地挾持其微軟帳號權限。由於整個過程都在瀏覽器視窗內完成,不接觸作業系統核心,傳統端點防護軟體難以攔截,讓攻擊者能順利入侵後端Azure環境。一般民眾或企業員工容易在不知不覺中點擊連結,並誤以為是正規的系統更新或授權請求而按下同意,導致帳號被盜用。建議民眾與企業應嚴格審查來源不明的連結,切勿隨意點擊授權視窗,並啟用多因素認證(MFA)以增強帳號安全性。
🚩 紅旗特徵
- •瀏覽器彈出不明授權同意視窗
- •點擊連結後未跳轉至正規網站
- •要求授權第三方應用程式存取帳號
關鍵字
ConsentFixOAuthAzureAPT29社交工程網釣
查看原始報導 ↗(iThome)