國家級駭客濫用ROADtools，鎖定微軟雲端身分識別環境

ROADtools是以Python撰寫的開源框架，主要鎖定Azure身分識別與驗證層，分析租戶環境中的帳號、應用程式與權杖運作。由於這套工具可透過微軟合法API與Entra ID互動，並能調整User-Agent字串等請求屬性，使流量看起來接近一般操作，因此較難被傳統偵測機制發現。

圖片來源/Palo Alto Networks

Unit 42指出，攻擊者已開始將ROADtools納入實際入侵行動，用於雲端環境探索與權杖操作。微軟曾揭露，俄羅斯駭客組織APT29在入侵後使用ROADtools列舉Entra ID環境；Volexity於2025年揭露的鎖定式釣魚攻擊中，攻擊者也註冊未授權裝置，並取得具Microsoft Graph API完整存取權限的新權杖，相關工具行為符合ROADtools roadtx模組的權杖管理能力。

Unit 42提醒，攻擊者利用ROADtools時，並非透過記憶體破壞漏洞或在主機植入惡意程式，而是濫用企業日常使用的驗證流程與API，因此防禦重點應放在身分識別控管。企業可啟用Microsoft Entra ID權杖保護、透過條件式存取限制裝置代碼流程、定期稽核OAuth應用程式權限，並整合Azure稽核日誌、Microsoft Graph API活動日誌、登入紀錄與Office 365活動，以便發現異常API使用、可疑權杖行為與非預期裝置註冊。