2026年3月4日、ユーロポールおよび世界中のパートナーが、主要なフィッシング・アズ・ア・サービス・プラットフォームであるTycoon2FAの技術的混乱を発表した。
このサービスはサイバー犯罪者が多要素認証を回避し、クラウドメールアカウントを侵害することを可能にした。当局はプラットフォームのインフラストラクチャの中核を形成した330のドメインを押収した。
2025年半ば、Tycoon2FAはMicrosoftが遮断したすべてのフィッシング試行の62%を占め、1か月間で3000万を超える悪意のあるメールが発生した。
大規模な協調的な削除にもかかわらず、サイバーセキュリティ研究者は、この混乱が極めて一時的なものであることを観察した。
3月4日と5日に通常のキャンペーン規模の25%への短い低下に続いて、Tycoon2FAの活動は迅速に混乱前のレベルに戻った。この迅速な回復は、現代のサイバー犯罪業務の深い耐性を強調している。
Tycoon2FAの背後にある運営者は、法執行機関の行動にもかかわらず、彼らの中核戦術を維持している。攻撃チェーンは依然としてフィッシングメール経由で被害者を偽のCAPTCHAページに誘導することに依存している。
ユーザーがCAPTCHAを解くと、悪意のあるJavaScriptが彼らのメールアドレスを抽出する。それは説得力のある、AI生成されたMicrosoft 365またはGoogleログインページを提示する。
混乱以来、研究者はこれらのフィッシングキットの多様な配信メカニズムを特定した。
最近のキャンペーンは、悪意のあるURL短縮器、偽の建設会社になりすまし、および侵害されたSharePoint環境を使用して、悪意のあるExcelファイルとPDFファイルを既知の連絡先に配信する。
さらに、脅威アクターはCloudflareインフラストラクチャを使用してキットのハイブリッド版を配備しようとしたが、業界パートナーによる標的化された削除がこれらの特定の取り組みのいくつかを軽減した。
Tycoon2FAの継続的な成功は、絶えず変化するドメインとホスティングプロバイダーのネットワークに依存している。クラウドの侵害に成功した後、フィッシングプラットフォームは被害者のMicrosoft EntraID環境に自動的にログインする。
これらの自動化されたログインは、Crowdstrike ルーマニアベースのインターネットサービスプロバイダーM247 Europe SRLによってホストされているIPv6アドレスから頻繁に発信される。
脅威アクターが混乱直後に新しいIPアドレスを取得した一方で、既存のインフラストラクチャの一部は削除を完全に生き残った。
防御者および脅威インテリジェンス分析者にとって、これらの急速に変化する侵害の指標を追跡することは重要である。最近の観察に基づいて、次の新規登録ドメインとIPアドレスは積極的にTycoon2FAキャンペーンを支援している:
Tycoon2FAの急速な復活は、インフラストラクチャの削除がめったに永続的な解決策でないことを示している。
組織は、弾力的なフィッシング脅威に対抗するために、クラウド環境全体の継続的な可視性を維持し、疑わしい受信箱ルールを監視する必要がある。
翻訳元: https://cyberpress.org/tycoon2fa-resumes-cloud-phishing/