脅威アクターが長く沈黙していることはめったにありません。2026年3月の大規模な世界的な取り締まりから数週間後、悪名高いTycoon 2FAフィッシング・アズ・ア・サービス(PhaaS)キットが危険な新しいトリックで復活しました。
サイバー犯罪者は、パスワードを盗む代わりに、Microsoftの OAuth デバイス認可付与フローを悪用して多要素認証(MFA)を完全に回避しています。
eSentireの脅威対応ユニット(TRU)のセキュリティ研究者がこの進化するキャンペーンを最近発見しました。
攻撃者は合法的なMicrosoftインフラを成功裏に武装化し、ユーザー自身のセキュリティプロトコルをテコに使って、Microsoft 365環境への完全でサイレントなアクセスを獲得しています。
攻撃シーケンスは、ベンダーの請求書またはMicrosoft 365ボイスメール通知に偽装されることが多い、欺瞞的な電子メールから始まります。
電子メールセキュリティゲートウェイを回避するため、攻撃者はTrustifiのようなエンタープライズプラットフォームからの合法的なクリック追跡URLを利用して評判をロンダリングしています。
クリックされると、被害者は見えない4層のブラウザ配信チェーン経由でルーティングされ、分析防止フィルターで厚く強化されています。
PhaaSkitは、研究者を排除するために、230のセキュリティベンダー、クラウドプロバイダ、およびAIクローラーの膨大なブロックリストに対して訪問者をアクティブに相互参照します。
ターゲットがこれらのチェックに合格した場合、偽のMicrosoftボイスメールページと生成されたユーザーコードが表示されます。
被害者は、本物のMicrosoftデバイスログインポータルでこのコードを入力するよう指示されます。ポータルは完全に本物であるため、被害者のMFAは完璧に機能します。しかし、ユーザーは自分のブラウザセッションを認可していません。
代わりに、彼らは無意識のうちに、正規の「Microsoft認証ブローカー」に偽装した攻撃者制御デバイスに、Exchange Online、Microsoft Graph、およびOneDriveアカウントへのフルアクセス権を付与しています。
舞台裏では、Tycoon 2FAの運営者が既存インフラストラクチャを再利用しています。
基盤となるコードは古いバージョンとほぼ同じままであり、同じAES-CBC暗号化層と「1234567890123456」というハードコードされた復号化キーが完備されています。
キットはプロキシ経由で認証情報をインターセプトするのではなく、セッションデータを調整し、静かに生成されたOAuthトークンを攻撃者のNode.jsバックエンドに渡しています。
これは、ユーザーのMFAがMicrosoftの側で満たされることを意味し、従来の認証情報盗難アラートが役に立たなくなります。
彼らはトークンをポーリングするための個別の自動化シグネチャを使用しています。以下は、このデバイスコードキャンペーンを狩るための主要な指標です。
翻訳元: https://cyberpress.org/tycoon-2fa-bypasses-mfa/