公開状態のサーバーからEvilginx攻撃者が発覚、Microsoft 365のセッションとOAuthトークンを窃取

ブダペストにある設定不備のサーバーから、Microsoft 365の多要素認証(MFA)を突破し、侵害したアカウントへのアクセスを維持し続けるために構築された、稼働中のフィッシングオペレーションが発覚しました。

185.163.204[.]7185.163.204[.]7185.163.204[.]7でホストされていたこのサーバーは、python3 -m http.server 8080を実行しており、ディレクトリ一覧表示が有効になっていたため、運用ファイルが誰でも閲覧できる状態になっていました。

研究者らは、フィッシング用の設定ファイル、Telegramのセッション情報、認証情報のログ、RMM(遠隔管理)インストーラー、コンボリスト、悪意のあるドロッパー、バックアップアーカイブ、シェル履歴などを発見しました。

公開状態だった.bash_historyファイルには、公開HTTPサーバーを起動した際のコマンドも記録されており、日常的なインターネットスキャンが、稼働中の脅威オペレーションの詳細なスナップショットへと変わる結果となりました。

このインフラは、codemado(別名MaDoO、MaDosc)として追跡されているエジプト人の攻撃者と結び付けられています。

Gitのcloneコマンド、公開GitHubリポジトリ、Telegramのセッション記録、スクリプト内のアラビア語コメント、使い回された連絡先情報などから、この攻撃者はMicrosoft 365を標的とするAiTMフィッシングプラットフォームと結び付けられました。

この攻撃者のオンライン上の活動履歴は、少なくとも201820182018年まで遡るとみられており、当時codemadoというハンドル名でハッキングやVoIP関連のコミュニティで活動していました。

Image

codemadoは複数のEvilginxフォークを展開しており、その中にはmail-argentaが関与するred-queenプロジェクトや、saroula01が保守するblack-queenも含まれていました。

これらのリポジトリは公開されているものであり、攻撃者間の連携を証明するものではありませんが、こうした使い回しの実態は、容易に入手できるフィッシングキットがMFA突破オペレーションの敷居をいかに下げ続けているかを浮き彫りにしています。

codemadoのキャンペーンでは、picis[.]net配下のドメインを使い、実際のMicrosoft 365のログインセッションをプロキシしていました。Evilginx型のリバースプロキシは、パスワードのみを窃取するのではなく、認証済みのセッションクッキーやOAuth関連のトークンをリアルタイムで傍受します。

Lexfoの研究者らが発見したのは、フィッシング用の設定ファイル、Telegramのセッション情報、認証情報のログ、RMMインストーラー、コンボリスト、悪意のあるドロッパー、バックアップアーカイブ、シェル履歴などでした。

攻撃者はMFAチャレンジの成功後に認証済みセッションを捕捉するため、これらの情報があれば、被害者がMFAを完了した後でもクラウドサービスへアクセスできてしまいます。

CloudStorage

Microsoft 365のセッションを窃取するEvilginx攻撃者

このインフラには、Cloudflare Tunnel、Node.js製のアンチボットゲートウェイ、QRコードによるリダイレクト、Telegramを使った被害者への通知、侵害したSMTPアカウントのチェック機能なども含まれていました。

アンチボット層はブラウザフィンガープリンティングを用いてスキャナーを識別し、信頼度の低い訪問者を無害なYouTubeのページへリダイレクトしていました。

これにより、自動分析からフィッシングページを隠しつつ、選別された被害者だけをOneDrive、Adobe、DocuSign、SharePoint、Microsoft Authenticatorをテーマにした偽サイトへ誘導することができていました。

Image

また、公開状態だったサーバーには、侵害後に使用する大規模なツールキットも含まれていました。ScreenConnect、SimpleHelp、SuperOps、GetScreen.me、XEOXといった遠隔管理ツールに加え、PowerShell、JScript、VBScriptによるドロッパーも確認されています。

研究者らはさらに、回収した一連の配布チェーンの一つを、以前からエジプトのインフラに帰属するとされていたAsyncRATの活動と関連付けました。これは、この攻撃者の活動が認証情報の窃取にとどまらず、リモートアクセスや永続化にまで及んでいることを示しています。

別の手掛かりからは、mail-argentaに行き着きました。同人物のred-queenによるEvilginxフォークのアクセスは、Microsoft 365、Okta、GitHubなどのサービスを標的にしていました。

あるGitHubアカウントには23個の公開リポジトリがホストされており、Microsoft 365、Kraken、LinkedIn、eHarmony、GitHub、Gmail、National Australia Bankなど、幅広いフィッシング標的をカバーしていました。

このプロジェクトには、URLの書き換え、セッションクッキーの捕捉、長期間有効なトークンの保持といった機能が実装されていました。報告によれば、そのコードはMicrosoft認証オブジェクトについて31,536,00031{,}536{,}00031,536,000秒、およそ1年間というクッキーの有効期限を設定していました。

インフォスティーラーのログデータからは、この攻撃者に紐づく使い回しの認証情報が判明したとされ、その中にはフィッシングパネルの環境設定ファイルにハードコーディングされていたパスワードも含まれていました。

Dictionaries& Encyclopedias

3人目の攻撃者であるsaroula01は、black-queenフレームワークを使い、これとは別のDevice Code Flowを悪用したフィッシングキャンペーンを展開していました。

この手法は、Microsoftの正規のデバイス認可プロセスを悪用するものです。被害者はMicrosoftの本物のデバイスログインポータル上で実際の認証コードを入力しますが、その裏で攻撃者側のバックエンドが発行されたトークンを取得する仕組みになっています。

報告によれば、このキャンペーンは少なくとも121212カ国で218218218人の被害者を捕捉し、自動化されたトークンの更新機能によってひそかにアクセスを維持していました。

今回の調査結果は、フィッシング耐性のあるMFA、条件付きアクセスポリシー、トークン保護、継続的なアクセス評価が不可欠であることを改めて示しています。

組織は、不審なデバイスコード認証を調査し、OAuthアプリケーションの許可設定を見直し、疑わしいリフレッシュトークンを失効させ、異常なセッションの再利用を監視すべきです。

SOCRadarはまた、codemadoのMaDoO Blasterメーラーと、より広範な「The Quarry」フィッシング・アズ・ア・サービス(PhaaS)エコシステムとの間に潜在的な関連がある可能性についても報告しています。このエコシステムでは、攻撃者は共通のプロバイダーから、フィッシングキット、配信ツール、ScreenConnectへのアクセス、ドロッパーなどの提供を受けています。

侵害指標(IoC)

種別 備考
フィッシングドメイン picis[.]net 2026-03-13登録
過去のフィッシングドメイン queeenspropertyservices[.]ca 2026年1月、同一のボットインフラ
C2/ホスティングIP 185.163.204.7 AS56322 ServerAstra Kft.、ハンガリー
匿名化プロキシ 216.180.245.166:50101 AS212238 Datacamp Limited、米国
ボットネットC2(キャンペーン以前) 188.227.196.240:7077 pastebin[.]com/u/codemadooo経由で配布。2025年12月に@abuse_chがフラグ付け
ScreenConnectサーバー vinicious.picis[.]net → 195.20.115.103 AS56322、Windows/IIS、ScreenConnect 6.6、RDPポート3389が開放
アンチボットゲートウェイ verify.picis[.]net/verify-human Node.js製、ボットをYouTubeへリダイレクト
Cloudflare Tunnel ID 1655dd1a-1c05-4818-8491-332f29713dca EvilginxをCDNの裏側でトンネリング
XEOX RMM agent01.xeox.comws01.xeox.com80.80.250.0/24 RMMのC2インフラ

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(例: [.])としています。再度有効な形式に戻す際は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理されている脅威インテリジェンス基盤上でのみ行ってください。

2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめませんか——2026年版AI SLA ベンダーチェックリストはこちら — 無料の AI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/evilginx-operators-stealing-microsoft-365/

ソース: gbhackers.com