出典:Alamy Stock Photoによるハリー・ウェジンガ
フィッシング界の最大ブランド名Tycoon 2FAの大規模な摘発を受けて、世界中のフィッシャーたちが分散した。現地に留まった者もいるが、多くは他のフィッシングサービスプロバイダーに移動し、一部はデバイスコードフィッシングへの急速な成長トレンドに乗っかっているようだ。
Tycoon 2FAを単に世界最大のフィッシングアズサービス(PhaaS)グループとして区別するのでは不十分だ。1年前、それはほぼすべてのPhaaS活動の90%を占めていた、とBarracudaのデータによる。それは本質的にPhaaS生態系を支配していた。
しかし、生態系は進化し、今年初めBarracudaはPhaaS市場の半分未満をTycoonに、Mamba 2FAもそれほど遠くない割合に帰属させた。その後調整された法執行機関による摘発が330の活動中のドメインを摘発した。それはまだ生きていて活動しているが、その出力は月間900万件以上の攻撃から少し200万件を超える程度に減少した。
しかし、これらの数字からサイバー法執行機関がフィッシング活動を80%削減させたと推測するのは誤りだろう。連邦当局が主要なサイバー犯罪組織を摘発するときはいつでも、関係する脅威者たちはただキーボードを置いて仕事を見つけるのではない。彼らは分散する。Tycoon 2FAの関係者たちが分散しているようなやり方は特に興味深い。なぜなら、研究者がフィッシング脅威の状況で観察しているより大きなトレンドのいくつかを反映しているからだ。
PhaaS勢力争い
Tycoon 2FAのような巨大企業に関して、「1つの摘発でこれらの作戦のあらゆる側面を完全に排除することを期待することはできない」とBarracudaのチーフテクノロジーオフィサー(CTO)事務所でSOC攻撃セキュリティの責任者であるメリウム・カリッドは言う。「見るべき方法は:彼らは作戦を摘発したが、インフラストラクチャ、戦術、技術、そしてそれすべての背後にあるコードはまだそこにある。」
Tycoonが傷をなめている間、EvilProxyやSneaky 2FAのようなグループがそれが残した権力の空白に踏み込んだ。EvilProxyの月間攻撃は摘発時期付近で300万未満からちょうど400万を超えるものに上昇し、Sneaky 2FAは70万未満からほぼ200万に上昇した。
最も恩恵を受けたグループは、しかし、Tycoonの以前の最大の競争相手Mamba 2FAだ。Tycoonが鼻をパンチされる前、Mambaは月間ほぼ800万件の攻撃を担当していた。今、それは月間1500万件を超える出力をしている—わずか数週間で約100%の急増。
新しい国への移民のように、ハッカーたちがあるフィッシングサービスプロバイダーから別のプロバイダーに移動するにつれて、彼らは彼らが知っていることを自分たちと一緒に持ってきた。「[Tycoon 2FA]ツール、コード、技術は実は今、MambaやEvilProxyのような彼らの競争相手の手に入っている。だから、より高度なフィッシングアズサービス攻撃と技術が出ていくと思う。」
デバイスコードフィッシングが急増
Proofpointのシニア脅威インテリジェンス分析者Selena Larsonはそれを直接見た。
「ほんの昨日、私たちが見ているデバイスコードフィッシング活動のいくつかをいじって回っていた」と彼女はZoomインタビューで思い出す。デバイスコードフィッシングでは、攻撃者は被害者にサービスの正規の新デバイスログインフローを使用してアカウントへのアクセスを引き渡すようにだまします。「キャンペーンの1つはTycoon URLの成果物を持つPDFを使用していた。『ちょっと待って、これはTycoon 2FAとEvilTokensですか?』と思った。可能性として、このアクターはTycoon認証情報フィッシングに以前使用していたPDFを再利用して、今、EvilTokensデバイスコードアカウント引き継ぎを行っていた。」
Barracudaはそれの別のケースに遭遇した。彼らはTycoon 2FAの最もユニークな特性の1つを組み込んだデバイスコードフィッシングキャンペーン:そのソースコードにノイズを作成する動機付けスタイルのコメントを観察した。
Proofpointの最新データを判断すると、驚きではない。偶然か因果関係か、Tycoon 2FAの摘発はデバイスコードフィッシングの急激な上昇とほぼ正確に重なっている。
Larsonは、それが新しいものではないが、デバイスコードフィッシングは昨年の後半でさえひどく一般的ではなかったと説明する。「2025年11月、12月以降、それはランドスケープ全体で適度に増加しており、特にここ3~4週間、まだかなり一般的ではないものから、脅威ランドスケープ全体でかなり一般的に観察されるものへと変わった。過去2週間以内でさえ、識別しやすいデバイスコードフィッシングキットのハンドフルを見ることから、それ以上の多くのものを持つようになった。」
Tycoonのユーザーベースのどのくらいがデバイスコードに向かっているのかは明確ではないと彼女は認める。「しかし、デバイスコードフィッシングの人気爆発の指標だと思う。そして、これらの新しいタイプのフィッシングキットは、デバイスコードフィッシングを彼らが販売しているパッケージの一部として彼らのキットに組み込んでいる。」
Larsonにとって、それはフィッシング技術の歴史における次の論理的なステップにすぎない。「数年前のことですが、脅威者たちはあなたのユーザー名とパスワードを単に目指していた。そして、その後、多要素認証(MFA)がそれをブロックしてそれらのタイプの機能を破壊するために作成されました。そう、脅威者たちは何をしますか?まあ、彼らはチェーン全体をつかむためにMFAフィッシングキットを作る」と彼女は説明する。
「しかし、今私たちはおそらくより多くの人々がMFAが必ずしも最善ではないことに気づいているポイントにいる」と彼女は、Typhoon 2FAのようなキットのおかげで追加する。「今、[脅威者たちは]のようなものです:’OK、私たちができるフィッシングの別のタイプは何ですか?OAuthフィッシングとデバイスコードフィッシングは、脅威者たちが行くつもりの場所の自然な進行だと思います。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 セキュリティボスはすべてAIに夢中:その理由、Reddit CISO Fredrick LeeとOmdia分析者Dave Gruberが、SOCのAIと機械学習、成功したデプロイメントがどのようになってきたか(またはそうでなかったか)、AI セキュリティ製品の将来について議論する場所。 今すぐ聞く!
翻訳元: https://www.darkreading.com/threat-intelligence/tycoon-2fa-hackers-device-code-phishing
