調査当局は本日、フィッシング・アズ・ア・サービス(PhaaS)事業Tycoon2FAに関連するインフラの押収後、グローバルなサイバー犯罪供給チェーンに関わるもう1つの重要なプレイヤーを摘発したと発表した。
この作戦はMicrosoftとEuropalが主導し、TrendAI、Cloudflare、Coinbase、Crowell、eSentire、Health-ISAC、Intel471、Proofpoint、Resecurity、The Shadowserver Foundation、SpyCloudを含む多くの業界パートナーがサポートした。
TrendAIによると、同作戦によってTycoon2FAに関連する300以上のドメインが押収された。
Tycoon2FAは、中間者攻撃技術を利用してライブ認証セッションを傍受し、認証情報、ワンタイムパスコード、アクティブなセッションクッキーをリアルタイムで窃取するサブスクリプション型のPhaaSを提供していた。
これにより、これを利用する脅威アクターは多要素認証(MFA)をバイパスし、企業メールボックスへの大規模攻撃で無数のエンタープライズアカウントにアクセスできるようになった。
Tycoon2FAは約2000人のユーザーを抱え、2023年8月の開始以来、24,000以上のドメインを使用していた。
PhaaS摘発についての詳細:英警察がフィッシング・アズ・ア・サービス・サイト「LabHost」の100万ポンド規模事業を摘発
「これは単一のフィッシングキャンペーンではなかった。これは数千人の犯罪者がMFAバイパスにアクセスできるようにするために構築された産業規模のサービスであった」と、TrendAIのサイバー犯罪研究ディレクターであるRobert McArdle氏は述べた。
「アイデンティティは現在、主要な攻撃対象領域となっている。セッションハイジャックがサブスクリプションとしてパッケージ化・販売される場合、リスクは孤立した事件から体系的な脆弱性へと移行する。」
いまだに多くの課題が残る
TrendAIおよび他の業界パートナーは、Tycoon2FAインフラおよびキャンペーンに関する重要な脅威インテリジェンスを法執行機関に提供した。彼らは主要なオペレーターを「SaaadFridi」と「Mr_Xaad」というオンラインアイデンティティを使用する脅威アクターと評価した。
しかし、犯人およびこれに似た多くの者がまだ逃走中であり、セキュリティ専門家はネットワークディフェンダーにPhaaS対策への耐性構築を促した。
TrendAIは組織に以下の対策を推奨した:
- フィッシング耐性認証を採用し、厳密な条件付きアクセス制御を実施する
- 横展開フィッシングとブランド偽装を検出できる高度なメールおよびコラボレーションセキュリティを展開する
- リアルタイムURL検査とウェブコンテンツ分析を有効化して、フェイクログインインフラを識別する
- アイデンティティリスク態勢を継続的に監視し、異常なセッション動作が検出された場合は迅速に対応する
- 定期的なフィッシングシミュレーションとセキュリティ認識トレーニングを実施する
翻訳元: https://www.infosecurity-magazine.com/news/global-takedown-tycoon2fa-phishing/
