悪名高いTycoon 2FA PhaaS(Phishing-as-a-Service)プラットフォームが復活し、世界規模の法執行機関による摘発があっても、サイバー犯罪者をオフラインに追い込むことはできないことを証明した。
もともと脅威アクター「Storm-1747」に帰属するこのAiTM(Adversary-in-the-Middle)キットは、Microsoft 365およびGoogle Workspaceアカウントを対象に多要素認証(MFA)をバイパスすることに特化している。
2026年3月にMicrosoftとEuropolによる大規模な協調妨害作戦が実施されたにもかかわらず、オペレーターは数週間以内に適応した。
2026年4月下旬、eSentireのセキュリティ研究者たちは、Tycoonの古典的な手口とOAuthデバイスコードフィッシングを組み合わせた新たなキャンペーンを観測しており、依然として持続的なトップクラスの脅威となっている。
Tycoon 2FAは単に静的な認証情報を収集するだけでなく、被害者と正規のIDプロバイダーの間でリアルタイムのリバースプロキシとして機能する。
被害者が悪意あるリンクをクリックすると、複雑なリダイレクトチェーンを経由して、本物と見分けがつかないログインページのレプリカに誘導される。
キットは実際のMFAチャレンジをユーザーにプロキシし、認証完了後に発行されたセッショントークンを奪取する。この盗まれたトークンを利用することで、攻撃者はMFAを完全にバイパスし、取得したトークンを再利用してクラウド環境にアクセスすることができる。
デバイスコードグラントの悪用:Microsoftに特有の手口として、キットはMicrosoftのエンドポイントからデバイスコードを取得し、偽の誘導コンテンツを通じて被害者にそれを確認させる。
多層的な解析妨害:キットはクラウドプロバイダーのIPアドレスを積極的にブロックし、Seleniumなどのセキュリティツールを検出し、右クリックによる開発者メニューを無効化し、実行後にDOM(Document Object Model)から痕跡を消去する。
インフラの悪用:Google Workspaceを標的とした場合、初期フィッシングの誘導コンテンツは正規のGoogle Cloudストレージ上にホストされることが多く、プロキシへのルーティング前に組み込みの信頼性を悪用する。
Elasticの調査によると、Tycoon 2FAの活動実態は標的によって大きく異なる。
Microsoft環境では、キットはトークン取得のための自動リレーと侵害後の偵察を担う人間操作型コンソールからなる二層アーキテクチャを使用する。
攻撃者はEntra IDに不正デバイスを登録し、通常のセッション失効処理を生き延びるプライマリリフレッシュトークン(PRT)を生成することで、深い永続性を確立する。
一方、Google Workspaceへの攻撃では、悪意あるGoogle Chrome OAuthクライアントを迅速に承認させることに特化した、より軽量な単層リレーが使用される。
翻訳元: https://cyberpress.org/tycoon-2fa-bypasses-mfa-2/
