Tycoon2FA フィッシング キットは、デバイス コード フィッシング攻撃をサポートし、Trustifi クリックトラッキング URL を悪用して Microsoft 365 アカウントをハイジャックします。
3 月に国際法執行機関が Tycoon2FA フィッシング プラットフォームを妨害したにもかかわらず、マルウェアは新しいインフラ上で再構築され、すぐに通常レベルの活動に戻りました。
今月初め、Abnormal Security は、Tycoon2FA が通常の動作に回復し、新たな改ざんの試みに対する耐性を強化するために新しい難読化レイヤーを追加したことを確認しました。
4 月下旬、Tycoon2FA は、OAuth 2.0 デバイス認証フローを利用して Microsoft 365 アカウントを侵害するキャンペーンで発見され、このオペレーターがキットの開発を継続していることがわかりました。
デバイス コード スプーフィングは、攻撃者がターゲット サービス プロバイダーにデバイス認証リクエストを送信し、生成されたコードを被害者に渡し、サービスの正規のログイン ページにコードを入力させる攻撃の一種です。
これにより、攻撃者は被害者の Microsoft 365 アカウントに不正なデバイスを登録し、電子メール、カレンダー、クラウド ファイル ストレージなどの被害者のデータとサービスに無制限にアクセスできるようになります。
Push Security は最近、少なくとも 10 のサービスとしてのフィッシング プラットフォーム (PhaaS) と個別のプライバシー キットによって、この種の攻撃が今年 37 倍に増加していると警告しました。 Proofpoint の最近のレポートでは、この戦術の使用が同様に増加していることが文書化されています。
Tycoon2FA がデバイス コード フィッシングを追加
マネージド検出および対応会社 eSentire の新しい調査によると、Tycoon2FA は、デバイス コード フィッシングがサイバー犯罪者の間で非常に人気になっていることを確認しています。
「攻撃は、被害者がおとりメール内の Trustifi クリック追跡 URL をクリックしたときに始まり、microsoft.com/devicelogin で正規の Microsoft ログイン フローを使用して、被害者が無意識のうちに攻撃者が制御するデバイスに OAuth トークンを付与することで最高潮に達します」と eSentire は説明します。
「これら 2 つのエンドポイントの接続は 4 層のブラウザ サプライ チェーンであり、その Tycoon 2FA クラフトは、2025 年 4 月に文書化された Credential Relay の TRU バージョンおよび 2026 年 4 月に文書化された削除後のバージョンから実質的に変わっていません。」
Trustifi は、Microsoft や Google などのさまざまな電子メール サービスと統合するさまざまなツールを提供する正規の電子メール セキュリティ プラットフォームです。ただし、eSentire は、攻撃者がどのようにして Trustifi を使用するようになったのかを知りません。
研究者らによると、この攻撃では、Trustifi、Cloudflare Workers、およびいくつかの難読化された JavaScript レイヤーを経由してリダイレクトする Trustifi 追跡 URL を含む請求書をテーマにしたフィッシングメールが使用され、被害者は偽の Microsoft CAPTCHA ページに誘導されます。
偽装ページは、攻撃者のバックエンドから Microsoft OAuth デバイス コードを取得し、それをコピーして「microsoft.com/devicelogin」に貼り付けるよう被害者に促します。その後、被害者は側で多要素認証 (MFA) を完了します。
この手順の後、Microsoft は攻撃者が制御するデバイスに OAuth アクセス トークンとリフレッシュ トークンを発行します。
出典: eSentire
Tycoon2FA フィッシング キットには、研究者や自動スキャン、Selenium、Puppeter、Playwright、Burp Suite の検出、セキュリティ プロバイダー、VPN、サンドボックス、AI スキャナーとクラウド プロバイダーのブロック、バグ タイミング トラップの使用に対する広範な保護が含まれています。
eSentireによると、分析環境を指定したデバイスからのリクエストは、正規のMicrosoftページに自動的にリダイレクトされるという。
研究者らは、Kita のブロック リストには現在 230 のベンダー名が含まれており、常に更新されていることを発見しました。
eSentire は、不要な場合は OAuth デバイス コード フローを無効にし、OAuth 同意権限を制限し、サードパーティ アプリに対して管理者の承認を要求し、継続的アクセス評価 (CAE) を有効にし、準拠したデバイス アクセス ポリシーを適用することを推奨しています。
さらに、研究者は、deviceCode 認証、Microsoft Authentication Broker の使用状況、および Node.js ユーザー エージェントについて Entra ログを監視することを推奨しています。
eSentire は、防御側が環境を保護できるように、最近の Tycoon2FA 攻撃に対する一連の侵害指標 (IoC) を公開しました。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
