はじめに
Tycoon 2FAフィッシングキットは、今日の企業環境を標的とする最も洗練された脅威の一つです。2023年8月に登場したこのPhishing-as-a-Service(PhaaS)プラットフォームは、高度な回避技術とアドバーサリー・イン・ザ・ミドル(AiTM)戦略を駆使して多要素認証(MFA)保護を迂回し、組織のセキュリティに対する手ごわい敵となっています。Any.runマルウェアトレンドトラッカーによると、Tycoon 2FAは今年64,000件以上の報告されたインシデントでトップを占めており、Microsoft 365およびGmailを展開するセキュリティチームにとって重大な懸念事項となっています。
Tycoon 2FAの仕組み
Tycoon 2FAキャンペーンは、リバースプロキシサーバーを利用して、正規のログインインターフェースを綿密に模倣した欺瞞的なフィッシングページをホストします。このAiTMアプローチにより、攻撃者はユーザーの認証情報とセッションクッキーをリアルタイムで捕捉し、二要素認証保護を迂回します。攻撃は、PDFドキュメント、SVGファイル、PowerPointプレゼンテーション、電子メール、悪意のあるウェブサイトを介したフィッシングリンクの配布から始まる、洗練された多段階プロセスで展開されます。攻撃者は、Amazon S3バケットを悪用して偽のログインページをホストしたり、CanvaやDropboxのようなプラットフォームを悪用して認証情報を収集したりもしています。
Tycoon 2FAが特に危険なのは、正規のMicrosoftサーバーからの応答に基づいて偽のログインページを動的に生成する能力です。被害者が認証情報を入力すると、攻撃者はこの情報を即座に受け取り、それを使用してMicrosoftの実際のサーバーに新しいログインリクエストを送信します。その後、フィッシングページはサーバーの応答に基づいて動的に更新され、本物のログインプロセスと酷似したシームレスな体験を作り出します。この技術的な洗練は、セキュリティ意識の高いユーザーからでも認証情報を盗む成功の可能性を劇的に高めます。
検出と分析の回避
Tycoon 2FAは、セキュリティ研究者によるフィッシングキットの分析を阻止するために設計された、複数の層のアンチ検出メカニズムを組み込んでいます。最初のHTMLページには、base64エンコードされたペイロードを含むJavaScriptファイルが含まれており、このペイロードはLZ-stringアルゴリズムを使用して圧縮されています。攻撃は、ドメイン検証、CAPTCHAチャレンジ、ボット検出、デバッガー識別を含む事前リダイレクトチェックから始まります。これらの防御は、正規のターゲットのみがフィッシングページの犠牲になり、自動化されたセキュリティスキャナーは無害なウェブサイトにリダイレクトされることを保証します。
悪意のあるペイロードは、セキュリティツールによる検出を回避するために「DOM Vanishing Act」として知られる技術を採用しています。JavaScriptコードは実行後にDocument Object Modelから自身を削除し、検査ベースのセキュリティソリューションに対して目に見える痕跡を残しません。このコードは、base64エンコーディング、XOR暗号、CryptoJS暗号化を含む複数の難読化技術を利用してその機能を隠蔽します。さらに、スクリプトは、ブラウザのデバッグモジュールをアクティブにする特定のキー入力のチェックや、デバッグツールがアクティブであった時間の追跡により、デバッガーの存在を積極的に監視します。
多要素認証のバイパス
Tycoon 2FAの真の力は、多要素認証コードをリアルタイムで捕捉する能力にあります。被害者がフィッシングページに認証情報を入力すると、攻撃者は中間者として機能し、その認証情報を正規のMicrosoftサーバーに送信します。被害者のブラウザはMFAコードを要求する応答を受け取り、フィッシングキットはこのMFAコードをMicrosoftのサーバーに直接中継し、この重要なセキュリティ層を効果的にバイパスして、攻撃者に侵害されたアカウントへの完全なアクセスを許可します。
攻撃は、ログインプロセスからのエラーメッセージを分析することにより、組織固有のインテリジェンス収集を組み込んでいます。このリバースエンジニアリング機能により、脅威アクターは組織の独自のセキュリティポリシーと電子メール構成を理解し、追加の高価値アカウントに対する標的型フィッシングキャンペーンを可能にします。さらに、最終的なペイロードは、ユーザーエージェント文字列や地理位置情報データを含む機密性の高いシステム情報を収集し、CryptoJSを使用して暗号化され、攻撃者が制御するコマンド&コントロールサーバーに送信されます。
推奨事項
- Microsoft 365およびGmailを使用する組織は、信頼できる場所からの認証のみを要求する条件付きアクセスポリシーを実装する必要があります。
- フィッシングページを特定し、疑わしい認証パターンを監視できる高度な脅威検出システムを展開することが重要です。
- 認証情報のフィッシングと、なじみのないページにMFAコードを入力するリスクに焦点を当てたユーザー意識向上トレーニングを優先すべきです。
- 脅威を完全に排除するパスワードレス認証ソリューションの導入も検討すべきです。