2026年4月下旬に発見された新しいフィッシング キャンペーンは、Tycoon 2FA Phishing-as-a-Service(PhaaS)キットの背後にある脅威アクターが従来の認証情報窃取を超えてどのように進化しているかを示しています。
この展開は、マイクロソフトとユーロポール主導のグローバル取り締まり活動がTycoon 2FA インフラストラクチャを壊滅させたわずか数週間後に起こっています。
その作戦にもかかわらず、アクターは迅速に適応し、既存のキットを再利用しながら、より高度で、より巧妙な攻撃方法にシフトしています。
攻撃は、ベンダー請求書リマインダーに偽装したフィッシング メールで始まります。被害者は Trustifi クリック追跡リンクをクリックするようにおびき寄せられ、悪意のあるペイロードを配信する前に Cloudflare Workers ドメイン経由でリダイレクトされます。
偽のログインページを提示する代わりに、キャンペーンは microsoft.com/devicelogin での Microsoft の正規のデバイスログイン プロセスを活用しています。
eSentire の脅威対応部門(TRU)によると、攻撃者は Microsoft の OAuth デバイス認可許可フローを悪用して、ユーザー名またはパスワードを収集することなく Microsoft 365 アカウントにアクセスしています。
被害者はフィッシング ページに表示されている短い「ユーザーコード」を入力するよう指示されます。入力されると、Microsoft が MFA を含む認証プロセスを処理します。
ただし、このステップを完了することで、被害者は知らず知らずのうちに攻撃者が制御するデバイスを認可します。これにより、OAuth アクセス トークンと更新トークンが攻撃者に直接発行されます。
簡潔に言うと、被害者は認証情報を与えているのではなく、アクセス権を付与しています。
Tycoon 2FA オペレータが OAuth デバイスを使用
TRU は、以前の Tycoon 2FA キャンペーンを反映した洗練された 4 層の配信チェーンを特定しました。
- レイヤー 1 は、AES-GCM と難読化された JavaScript を使用してブラウザ内の隠れたペイロードを復号化します。
- レイヤー 2 は、サンドボックス検出、デバッガー トラップ、および 230 以上のベンダーに対する ASN ベースのフィルタリングを含む、分析対策チェックを実行します。
- レイヤー 3 は、偽の Microsoft CAPTCHA(「HumanCheck」)を表示し、「Check Domain」をクエリして、フィッシング ルアーを表示するか無害な囮サイトを表示するかを決定します。
- レイヤー 4 は、OAuth デバイスコード フィッシング ページを配信し、ユーザーをログイン プロセスガイドします。
特に、キットは、ハードコードされたキー「1234567890123456」を持つ CryptoJS AES-CBC 暗号化、一貫した反デバッグ ロジック、および同じ Check Domain アーキテクチャを含む、以前のバージョンからの主要なフィンガープリントを保持しています。
攻撃者は、正規のファーストパーティ アプリケーション(AppId:29d9ed98-a469-4536-ade2-f981bc1d605e)である Microsoft 認証ブローカーになりすまします。
このアプリは信頼されているため、同意プロンプトは合法的に見え、典型的な OAuth セキュリティ警告をトリガーすることを回避します。
同意が与えられると、攻撃者は Exchange Online、Microsoft Graph、OneDrive を含む複数のサービスにアクセスできます。単一の承認は、実質的にMicrosoft 365 環境全体を危険にさらします。
テレメトリは、Alibaba Cloud(AS45102)でホストされている攻撃者インフラストラクチャを示していますが、「node」および「undici」ユーザー エージェント文字列を使用する Node.js ツールによって駆動される自動化は、以前の axios ベースのアクティビティと比較して新しい指標です。
この攻撃は、従来の意味で MFA をバイパスしません。代わりに、OAuth デバイス コード フローがどのように機能するかを悪用しています。認証は Microsoft の実際のプラットフォーム上で行われるため、MFA は正常に完了しますが、間違ったセッションの場合です。
例えば、ログイン プロンプトを承認するユーザーは、ボイスメール メッセージにアクセスしていると考えています。実際には、彼らは攻撃者のデバイスへの永続的なアクセスを許可しています。
セキュリティ チームは、Entra ログで「node」または「undici」などの異常なデバイスコード認証イベントと疑わしいユーザー エージェント文字列を監視する必要があります。
Check Domain URL と AES 暗号化ルーチンのような Tycoon 2FA インフラストラクチャ パターンの再利用も、信頼できる検出機会を提供します。
この脅威を軽減するために、組織は以下を実行する必要があります。
- 標準ユーザーのOAuth デバイス コード フローを制限またはオフにします。
- 厳密なアプリケーション同意ポリシーを適用します。
- 迅速なトークン失効のために継続的なアクセス評価(CAE)を有効にします。
- 異常な OAuth アクティビティと侵害後の動作を監視します。
このキャンペーンは、フィッシング戦術の重大な転換を浮き彫りにしています。攻撃者が正規の認証ワークフローを操作すると、強力な MFA 保護さえも損なわれる可能性があり、ID とトークンベースの攻撃についての可視性を深める必要性が強調されています。
翻訳元: https://gbhackers.com/tycoon-2fa-operators-use-oauth-device/
