多要素認証をバイパスし、大規模な中間者攻撃を実行するスキルの低いサイバー犯罪者を可能にした主要なフィッシングキットおよびプラットフォームであるTycoon 2FAは、水曜日に国際的な連合によって解体されました。
Europolおよび6か国と11のセキュリティ企業または組織から当局と並行して努力を主導したMicrosoftは、制御パネルと詐欺的なログインページを含むTycoon 2FAの中核インフラストラクチャを動力供給した330のドメインを押収したと述べました。
2023年8月に出現したプラットフォームは、Microsoft Threat Intelligenceによると、毎月50万以上の組織にグローバルに到達した数千万のフィッシングメッセージの責任がありました。数千のサイバー犯罪者がTycoon 2FAを使用して、Microsoft 365、Outlook、SharePoint、OneDrive、Googleサービスを含むメールとオンラインサービスに侵入しました。
「2025年半ばまでに、Tycoon 2FAはMicrosoftがブロックした全フィッシング試行の約62%を占めており、1か月で3000万以上のメールを含みました。これはTycoon 2FAをグローバルに最大規模のフィッシング操作の中に置きました」とMicrosoftのデジタル犯罪ユニットのアシスタント総長弁護士Steven Masadaは、テイクダウンについてのブログ投稿で述べました。
「広範な防御にもかかわらず、このサービスは2023年以来、世界中で推定96,000人の異なるフィッシング被害者にリンクされており、55,000人以上のMicrosoftの顧客を含みます」とMasadaは付け加えました。
Microsoftが Storm-1747として追跡するグループによって開発および宣伝されたフィッシングキットは、TelegramおよびSignalでサイバー犯罪者に月額350ドルで販売されました。プラットフォームは、サイバー犯罪者がキャンペーンを設定、追跡、改善することを可能にする単一のダッシュボード上のフィッシングのコアコンポーネントを提供しました。
プラットフォームはまた、サイバー犯罪者に事前構築されたテンプレート、一般的なフィッシング詐欺用の添付ファイル、ドメインおよびホスティング構成およびリダイレクトロジックを提供しました、とMicrosoftは述べました。Tycoon 2FAに起因するフィッシングメッセージの月次ボリュームは2025年11月に3000万以上のメッセージでピークに達しました。
教育とヘルスケアの組織はTycoon 2FAによって可能にされたフィッシング攻撃によって最も厳しい打撃を受けました。ニューヨーク南部地区の米国地方裁判所に提出された訴訟の共同訴訟者であるHealth-ISACの100人以上のメンバーが正常にフィッシングされたとMasadaは述べました。
ニューヨークの2つの病院、6つの学校、および3つの大学がTycoon 2FAを介した試みまたは成功した侵害に直面し、運用を中断し、リソースを転用し、患者ケアを遅延させた事件をもたらしたと彼は付け加えました。
MicrosoftおよびHealth-ISACは、Tycoon 2FAを開発、実行、販売するために、1000万ドルの差止命令を要求して、疑わしい創造者Saad Fridiおよび4人の名前のない関連会社に対して民事訴訟を提出しました。裁判所の命令により、MicrosoftはTycoon 2FAの技術インフラストラクチャを解体および所有権を取得することが許可されました。
ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、イギリスからの当局は、Cloudflare、Coinbase、Crowell & Moring、eSentire、Intel 471、Proofpoint、Resecurity、Shadowserver、SpyCloud、Trend Microと一緒に操作を支援しました。
Proofpointのスタッフ脅威研究者であり、裁判所の命令を支援するための正式な宣言を提供したSelena Larsonは、Tycoon 2FAはProofpointによって観察された最高のボリュームの中間者フィッシング攻撃に責任があると述べました。
「Tycoonは私たちのデータで最大のMFAフィッシング脅威であり、この操作後、大幅な減少を期待しています」と彼女はCyberScoopに語りました。
「多くの顧客は自分のハッキングツールが機能しなくなったことに気付き、Tycoon 2FAが新しいドメインとインフラストラクチャを作成できたとしても、ブランドは大きく傷つき、顧客はより効果的でないフィッシングキットを購入するか、潜在的に人生の選択を再考してゲームから脱出する」とLarsonは付け加えました。
Tycoon 2FAの使いやすく堅牢な機能が人気に貢献したと研究者は述べました。プラットフォームのコードベースは定期的に更新され、オペレーターはそれらを放棄して新しいドメインに移行する前に、短期間にわたって高いボリュームのサブドメインを生成しました。
研究者は、急速なターンオーバーと一時的インフラストラクチャへのシフトが、新しいキャンペーンを検出およびブロックする努力を複雑にしたと述べました。
Tycoon 2FAのテイクダウンは、最近のサイバー犯罪の取り締まり波に従い、Racoon0365とLumma Stealer infostealerオペレーションに対するアクションを含み、約1000万システムに感染しました。
翻訳元: https://cyberscoop.com/tycoon-2fa-phishing-kit-takedown-microsoft/
