脅威行為者はTycoon 2FAの破壊後、他のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームに移行し、そのツールを再利用しています。
少なくとも2023年から活動しているTycoon 2FAは、脅威行為者がフィッシング攻撃を実行し、二要素認証をバイパスし、ユーザーアカウントを侵害することを可能にします。それは50万の組織に対する攻撃で使用されています。
昨年、Tycoon 2FAはMicrosoftが検出したフィッシング試行の62%を占め、89%のマーケットシェアを持つ最も使用されたPhaaS プラットフォームでした。
3月初旬、協調的な取り組みの結果、330のアクティブなTycoon 2FAドメインが押収されましたが、プラットフォームの運用は一見影響されずに続きました。
新しいBarracudaレポートによると、リバウンドにもかかわらず、Tycoon 2FAはPhaaS王座を失いました。脅威行為者はMamba 2FA、EvilProxy、Sneaky 2FAなどの他のプラットフォームに移行しています。
これら4つのフィッシングキットを活用した攻撃の全体数は、破壊後、約2000万から2300万以上に増加しましたが、Tycoonはもはや法執行操作前のようにリーダーではありません。Barracudaの検出に基づいて、それはMambaとEvilProxyから大きく後れています。
Tycoon 2FAは打撃を吸収し、基盤となるエコシステムは生き残り、他のフィッシングキットはインフラストラクチャを成熟させ、以前に破壊されたサービスで使用されていたツールでその提供を拡大しました。
「Tycoon 2FAは独立した関連組織によって広く使用されていました。これは、個々の攻撃者によってクローン化または変更されたTycoon 2FAの攻撃コードのバリアントが循環し続けていることを意味します。また、独立してホストされているデプロイメントがアクティブなままで、断片化された低ボリュームのキャンペーンが存続していることを意味します。」と、Barracudaは述べています。
サイバーセキュリティ企業によると、PhaaS ツールセットはオープンソースソフトウェアとますます似ており、脅威行為者がコードを再利用、変更、および再展開しています。
残存インフラストラクチャ、破壊に耐えるための組み込み冗長性、および侵害された環境への永続的なアクセスと組み合わせることで、フィッシングキットはより耐久性があり、検出および対処がより難しくなります。
Barracudaによると、これらの成果物はエコシステムの多様化を反映しており、Tycoon 2FAは復元されるのではなくより多くのプラットフォームに再配布されています。
「これは削除操作が失敗したことを意味するものではありません。むしろ、破壊が成熟した地下経済に当たったときに起こることと、セキュリティ防御が個々のプレイヤーより広く見る必要がある理由を示しています。」と、Barracudaは述べています。
翻訳元: https://www.securityweek.com/tycoon-2fa-loses-phishing-kit-crown-amid-surge-in-attacks/
