TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Tycoon2FAがデバイスコードフィッシングでMicrosoft 365アカウントを乗っ取る

Image

Tycoon2FAフィッシングキットはデバイスコードフィッシング攻撃をサポートし、Trustifiのクリック追跡URLを悪用してMicrosoft 365アカウントを乗っ取ります。

国際的な法執行機関の作戦にもかかわらず ビデオプレーヤーは現在広告を再生中です。マウスまたはキーボードで5秒でスキップできます

4月下旬、Tycoon2FAはOAuth 2.0デバイス認可付与フローを活用してMicrosoft 365アカウントを危険にさらすキャンペーンで観測され、事業者がキットの開発を継続していることが示されました。

デバイスコードフィッシングは、脅威行為者がターゲットサービスプロバイダーにデバイス認可リクエストを送信し、生成されたコードを被害者に転送し、サービスの正当なログインページに入力するように被害者をだます攻撃の一種です。

これを行うことで、攻撃者は被害者のMicrosoft 365アカウントに不正デバイスを登録することを認可し、メール、カレンダー、クラウドファイルストレージを含む被害者のデータとサービスへの無制限アクセスを得ることができます。

Push Securityは最近、このタイプの攻撃が今年37倍増加したと警告し、少なくとも10個の異なるフィッシング・アズ・ア・サービス(PhaaS)プラットフォームと非公開キットがサポートしています。より最近のProofpointのレポートは、この戦術の使用における同様の急増を記録しています。

Tycoon2FAがデバイスコードフィッシングを追加

マネージド検出応答企業eSentireの新しい研究によると、Tycoon2FAはデバイスコードフィッシングがサイバー犯罪者の間で非常に人気になったことを確認しています。

「攻撃は、被害者がルアーメールのTrustiifiクリック追跡URLをクリックすることで始まり、被害者がMicrosoftの正当なデバイスログインフロー(microsoft.com/devicelogin)を通じて攻撃者制御デバイスにOAuthトークンを無意識に付与することで終わります。」とeSentireは説明しています

「これら2つのエンドポイントを接続するのは、4層のインブラウザ配信チェーンであり、Tycoon 2FAの職人技は2025年4月にTRUが文書化した認証情報リレーバリアントおよび2026年4月に文書化されたテイクダウン後バリアントから実質的に変わっていません。」

Trustifiはメールセキュリティプラットフォームであり、MicrosoftやGoogleを含むさまざまなメールサービスに統合されたツール範囲を提供します。ただし、eSentireは攻撃者がTrustiifiを使用するようになった方法を知りません。

研究者によると、攻撃はTrustiifi追跡URLを含むインボイステーマのフィッシングメールを使用し、Trustifi、Cloudflare Workers、およびいくつかの難読化JavaScriptレイヤーを通じてリダイレクトし、被害者を偽のMicrosoft CAPTCHAページに着陸させます。

フィッシングページは攻撃者のバックエンドからMicrosoft OAuthデバイスコードを取得し、被害者に「microsoft.com/devicelogin」にそれをコピーして貼り付けるよう指示します。その後、被害者は自分の側で多要素認証(MFA)を完了します。

このステップの後、Microsoftは攻撃者制御デバイスにOAuthアクセスおよびリフレッシュトークンを発行します。

Image

Tycoon2FAフィッシングキットは研究者に対する広範な保護を含み、自動スキャンを検出し、Selenium、Puppeteer、Playwright、Burp Suiteを検出し、セキュリティベンダー、VPN、サンドボックス、AIクローラー、クラウドプロバイダーをブロックし、デバッガタイミングトラップを使用します。

分析環境を示すデバイスからのリクエストは自動的に正当なMicrosoftページにリダイレクトされると、eSentireは述べています。

研究者は、キットのブロックリストに現在230のベンダー名が含まれており、継続的に更新されていることを発見しました。

eSentireは、不要な場合はOAuthデバイスコードフローを無効にし、OAuth同意権限を制限し、サードパーティアプリに対する管理者承認を要求し、継続的アクセス評価(CAE)を有効にし、準拠デバイスアクセスポリシーを実施することを推奨しています。

さらに、研究者はEntraログでdeviceCode認証、Microsoft Authentication Brokerの使用、Node.jsユーザーエージェントを監視することを推奨しています。

eSentireは最新のTycoon2FA攻撃に関する侵害の指標(IoC)のセットを公開し、ディフェンダーが自分の環境を保護するのに役立てています。

検証ギャップ:自動化されたペンテスト1つの質問に答えます。あなたは6つが必要です。

自動化されたペンテストツールは実質的な価値を提供しますが、攻撃者はネットワークを移動できるかという1つの質問に答えるために構築されました。これらは、あなたのコントロールが脅威をブロックするか、検出ルールが起動するか、またはクラウド設定が保持するかをテストするために構築されていません。

このガイドは、実際に検証する必要がある6つの表面をカバーしています。

今すぐダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/tycoon2fa-hijacks-microsoft-365-accounts-via-device-code-phishing/

ソース: bleepingcomputer.com
#MFA バイパス #Microsoft 365 #OAuth #Trustifi #Tycoon2FA #アカウント乗っ取り #デバイスコードフィッシング #フィッシング #企業セキュリティ #認証情報盗取

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用