Microsoft 365

Microsoft 365およびGmailアカウントの多要素認証をバイパスすることで知られるフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Tycoon2FA」が、ステルス性と回避能力を向上させるアップデートを受けた。

Tycoon2FAは2023年10月にSekoiaの研究者によって発見され、その後、フィッシング・キットの洗練度と有効性を高める重要なアップデートが報告されました。

Trustwaveは今回、Tycoon 2FAの脅威行為者が、検知やエンドポイントセキュリティ保護を回避する能力を強化するいくつかの改良を加えたと報告している

2月にJuniper Threat Labsによって最初に報告されたように、最初に強調された変更は、JavaScript内のバイナリデータを隠すために目に見えないUnicode文字を使用することです。この手口により、ペイロードは実行時に通常通りデコードおよび実行され、手動(人間による)解析や静的パターンマッチング解析を回避することができます。

Using Unicode to hide malicious code snippets
悪意のあるコードスニペットを隠すためにUnicodeを使用する
Source:Trustwave

2つ目の開発は、Cloudflare Turnstileから、ランダム化された要素を持つHTML5 canvasを介してレンダリングされるセルフホストCAPTCHAへの切り替えです。

おそらく、Tycoon 2FAのクリエイターは、ドメインレピュテーションシステムによるフィンガープリンティングとフラグを回避し、ページのコンテンツに対するより良いカスタマイズコントロールを得るために、この変更を選択した。

3つ目の大きな変更は、PhantomJSやBurp Suiteのようなブラウザ自動化ツールを検出し、分析に関連する特定のアクションをブロックするアンチデバッグJavaScriptの組み込みである。

不審な動きが検出されたり、CAPTCHAが失敗した場合(セキュリティボットの可能性あり)、ユーザーにはおとりページが提供されるか、rakuten.comのような正規のウェブサイトにリダイレクトされる。

The kit's new antidebug logic
キットの新しいアンチデバッグ・ロジック
ソースはこちら:Trustwave

Trustwaveは、これらの回避テクニックは単独では目新しいものではないが、組み合わせると大きな違いを生み、フィッシング・インフラを発見し、テイクダウンや混乱に導く検知や分析を複雑化させると強調している。

急増するSVGルアー

Trustwaveは、関連する別のレポートにおいて、Tycoon2FA、Mamba2FA、Sneaky2FAのようなPhaaSプラットフォームによって、悪意のあるSVG(Scalable Vector Graphics)ファイルを使用したフィッシング攻撃が劇的に増加していることを確認したと述べている。

サイバーセキュリティ企業の報告によると、2024年4月から2025年3月にかけて1,800%もの急上昇を記録しており、この特定のファイル形式を好む手口が明らかに変化していることを示しています。

SVG file attachments used in phishing attacks
フィッシング攻撃で使用されるSVGファイルの添付ファイル
Source:Trustwave

フィッシング攻撃で使用される悪質なSVGは、音声メッセージ、ロゴ、クラウド文書のアイコンに偽装された画像です。しかし、SVGファイルにはJavaScriptが含まれていることがあり、ブラウザで画像がレンダリングされると自動的にJavaScriptが起動します。

このコードは、base64エンコーディング、ROT13、XOR暗号化、ジャンクコードを使って難読化されているため、発見される可能性は低い。

悪意のあるコードの機能は、メッセージ受信者をMicrosoft 365のフィッシング・ページにリダイレクトし、アカウント認証情報を盗むことです。

Trustwaveのレポートで紹介されているケーススタディは、音声メッセージに見せかけたSVGファイルを添付した偽のMicrosoft Teamsのボイスメールアラートに関するものだ。これをクリックすると、JavaScriptを実行する外部ブラウザが開き、偽のOffice 365ログインページにリダイレクトされる。

Microsoft Teams lure
Microsoft Teamsのおびき寄せ
ソースはこちら:Trustwave

PhaaSプラットフォームやSVGベースのフィッシングの台頭により、警戒を強め、送信者の真正性を確認する必要性が高まっています。

効果的な防御策は、メールゲートウェイでSVGの添付ファイルをブロックするかフラグを立て、FIDO-2デバイスのようなフィッシングに強いMFAメソッドを使用することである。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。