Tycoon2FA Infra Used by Dadsec Hacker Group to Steal Office365 Credentials
2025/05/31 CyberSecurityNews — 悪意のインフラを共有する、2つの有名なサイバー犯罪組織が展開する高度なフィッシング攻撃により、世界中の Office 365 ユーザーに重大な脅威が迫っている。2023年8月から活動している Tycoon2FA の Phishing-as-a-Service プラットフォームは、悪名高い Storm-1575 グループ (別名 Dadsec) との連携により、サイバー犯罪エコシステムにおける強力な同盟関係を確立した。
この連携が示すのは、フィッシング戦術における懸念すべき進化である。既存の脅威アクターたちが、リソースとインフラを共有することで、企業を標的とする攻撃能力を強化している。
この共同作戦で採用されている攻撃手法は、多要素認証の保護を回避するための、特別に設計された中間者攻撃 (AiTM) が中心となっている。
サイバー犯罪者たちは、悪意の添付ファイルや埋め込みリンクを取り込んだフィッシング・メールを配布し、侵害したドメインとリダイレクト・サービスの、複雑なチェーンを通じて被害者をリダイレクトしていく。
このキャンペーンでは、”res444.php”/”cllascio.php”/”.000.php ” などの独自の PHP リソースを、ペイロード配信メカニズムとして利用しており、後者の2つは 2025年3月時点で確認された最新の改変版である。
.webp)
通常において、これらの攻撃は、人事/財務/セキュリティ・アラートなどをテーマにした、ソーシャル・エンジニアリングによるルアーから始まり、信頼を築いた後に、被害者による関与を促すというステップを取る。
Trustwave のアナリストたちは、2024年7月以降において、Tycoon2FA キャンペーンにリンクされた数千のフィッシング・ページで構成される、急速に拡大するネットワークを特定している。それらが示すのは、この脅威の規模と持続性である。
この悪意のネットワークのインフラ分析により、この活動の全体に共通するパターンが明らかになった。具体的に言うと、テンプレート化された Web ページが固有の HTML 本文ハッシュの共有、および、フィッシング・ページを自動分析から保護するためのカスタム Cloudflare Turnstile チャレンジの導入に加えて、侵入テスト・ツールや Web 検査に関連する、キーストローク検出を監視する強化された分析対策機能などが挙げられる。
この攻撃活動の影響は、単純な認証情報の窃取に留まらない。AiTM 機能により、攻撃者はセッション Cookie と認証トークンを盗み取ることが可能なため、被害者がパスワードを変更した後であっても継続的なアクセスを保持する仕組みとなっている。
技術的な感染メカニズムとペイロード配信
Tycoon2FA の感染チェーンは、検出を回避しながら、攻撃ライフサイクル全体を通じて持続性を維持するために設計された、高度かつ複雑なテクノロジーを示している。
.webp)
最初に、被害者がフィッシング・リンクにアクセスすると、多段階のリダイレクト・プロセスに遭遇する。このプロセスは、OSS の Web ホスティング・プラットフォームである Cyber Panel を活用するドメインから始まるが、通常においては、特定の英数字パターンを持つ .RU トップ・レベル・ドメインが使用されている。
ドメイン名の長さは 5~10 文字で、サブドメインは 15~20 文字に及ぶため、追跡に有用な一貫したフィンガー・プリントが作成される。
ペイロード配信のコアとなるメカニズムは、悪意の PHP ファイルに埋め込まれた JavaScript ベースの復号ルーチンに依存している。
これらのファイルには、Base64 でエンコードされたコンテンツが取り込まれており、2段階の難読化解除プロセスが実行される。まず、標準的な Base64 デコードの前に、シーザー暗号を5桁後方へとシフトする。
デコードされたコンテンツからは、AES-CBC 復号に不可欠なパラメータが明らかになっている。このパラメータを構成するのは、エンコードされたデータ・ペイロード/PBKDF2 鍵導出用のソルト値/初期化ベクター、復号に必要なパスフレーズなどである。
let randpattern = null;
if(route == "checkemail"){randpattern = /(pq|rs)[A-Za-z0-9]{0,10}(y2|12|30)[A-Za-z0-9]{2,7}(cv|wx)(3[1-9]|40)/gi}
復号に成功したマルウェアは、動的な JavaScript を生成し、自動ナビゲーションのアンカー要素を作成する。それにより、プログラムが機能し、最終的なフィッシング・サイトへとユーザーを誘導する。
このシステムは、認証情報の直接収集が失敗した場合に備え、Microsoft Word Onlineや Media Player などの正規プラットフォームを模倣するデコイ・ページなどの、複数のフォール・バック・メカニズムを組み込んでいる。
このプロセス全体を通じて、悪意のインフラが収集するのは、IP アドレス/位置情報データ/ブラウザ・フィンガープリント/ユーザー・エージェント文字列などの、被害者に関する包括的な情報である。それらの収集された情報は、通信チャネルを難読化するためのハードコードされたキーと AES 暗号化を用いて、Command and Control (C2) サーバへと送信される。
この記事は、複数のサイバー犯罪グループが連携し、高度なフィッシング攻撃を展開していることを詳しく伝えています。特に多要素認証を回避する仕組みや技術的な洗練度の高さが印象的で、これまで以上に注意を払う必要があると促しています。なお、Tycoon2FA については、2024/03/24 の「Tycoon 2FA という PhaaS の台頭:Microsoft 365/Gmail アカウントの MFA バイパスで収益」という記事でも取り上げています。よろしければ、PHaaS で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.