威脅行為者正積極利用 OAuth 的錯誤處理機制，將受害者誘導至 login.microsoftonline.com 和 accounts.google.com。藉由構建註定失敗的請求，攻擊者能實現無縫且靜默的重定向。

惡意授權請求剖析

偵測與防禦策略

• 監控錯誤代碼 65001： 在 Entra ID 登入日誌中審查 resultType = 65001，特別是來自未知應用程式 ID 的失敗請求。
• 限制使用者同意權限： 停用使用者對多租戶應用程式的授權，或將其限制在「經過驗證的發行者」。
• 分析 State 參數： 若電子郵件中的 OAuth URL 包含經過編碼的使用者電郵作為 state 參數，這是極高置信度的釣魚指標。

MITRE ATT&CK 技術對照

名稱衝突：合法 vs. 惡意

攻擊手法解析

此次攻擊遵循經典的特洛伊木馬模式：將惡意載荷包裝在一個高需求的生產力工具（Reddit 自動化）中。

• 規避掃描： 載荷透過受密碼保護的 ZIP 分發（密碼：1234），讓自動化掃描器無法運作。
• Mac 端執行： 使用 base64 -d | sh 指令直接將 Shellcode 注入核心執行。
• 社交工程： 安裝說明告知使用者「在啟動技能前『必須』執行 AuthTool.exe」，藉此建立該程式作為必要組件的信任感。

結論

對合法軟體進行詳盡的鑑識特徵比對是最好的防禦。資安分析師不應僅驗證檔名，還必須檢查雜湊值 (Hash)、執行路徑以及數位簽章的發行單位。

2026 年 2 月 19 日，INC 勒索軟體組織對託管環境發動了高速襲擊。本報告詳細說明了自動化 AI 如何跑贏對手，在無需人為干預的情況下確保 100% 的數據恢復。

威脅行為者概況

INC Ransom 採用雙重勒索模型，重點針對醫療、政府及 MSP 部門。他們偏好「真人實機」操作，而非單純的自動化腳本。

自動化防禦的優勢

在大規模部署波次中，威脅行為者企圖同時感染 36 台設備。SentinelOne 的行為引擎在不到半秒內觸發了六條偵測規則，並立即啟動了 回滾 (Rollback) 程序。

系統利用受保護的磁碟陰影複製，自動將每個受影響的檔案還原。其結果是：零數據損失、零業務中斷，以及將威脅行為者徹底驅逐出境。