概要

マイクロソフトとユーロポールは、業界パートナーと共に、Tycoon 2FA フィッシング・アズ・ア・サービス (PhaaS) プラットフォームを摘発しました。このプラットフォームは2023年8月から運営されており、マルチファクタ認証 (MFA) を迂回し、世界中の96,000以上の組織を標的としていました。

Threat の概要

Tycoon 2FA は、リアルタイムで資格情報とセッションクッキーをキャプチャすることで、現代のセキュリティ制御を打ち破るよう設計されていました。Telegram で約120ドルで販売されていたこのツールキットは、低スキルの攻撃者でも認証セッションをハイジャックできるようにしました。

摘発の詳細

この国境を越えた脅威を摘発するには、ユーロポールのサイバーインテリジェンス拡張プログラム (CIEP) の下で、国際的な協力が不可欠でした。米国の裁判所命令と、Health-ISAC と共に提出された1000万ドルの民事訴訟を武器に、マイクロソフトは330のアクティブなドメインを確保しました。同時に、英国、スペイン、ポーランド、ラトビア、リトアニア、ポルトガルの法執行機関が重要なサーバーの押収を実施しました。

防御策

• 強力でフィッシングに耐えられる MFA の強制
• セッションのライフタイムポリシーの厳格な実装と継続的なアクセス評価
• Tycoon 2FA のインジケーター・オブ・コムプロイズ (IOCs) を使用したネットワーク防御の更新
• アドベイス・イン・ザ・ミドル (AiTM) 逆プロキシ戦術の検出を訓練

結論

攻撃者がこれらのインフラストラクチャの損失に対応するにつれて、組織は継続的にアイデンティティ制御を強化し、盗まれたセッショントークンの監視を続ける必要があります。

元記事: https://gbhackers.com/tycoon-2fa-phishing-operation-dismantled/