Security

Tycoon2FA AiTM-phishing omgår MFA: Microsoft råd

3 min læsning

Resumé

Microsofts analyse viser, at Tycoon2FA har gjort AiTM-phishing til en stor trussel mod Microsoft 365 ved at opsnappe sessionscookies under login og dermed omgå MFA i stor skala. Det er vigtigt, fordi kompromitterede konti ikke nødvendigvis sikres ved blot at nulstille adgangskoden — organisationer bør også tilbagekalde sessioner/tokens og styrke deres godkendelseskontroller for at begrænse skaden.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor dette er vigtigt

AiTM-phishingkits som Tycoon2FA ændrer risikomodellen for Microsoft 365 og andre SaaS-logins: selv når brugere har MFA aktiveret, kan angribere stadig overtage konti ved at opsnappe sessionscookies/tokens under sign-in. For IT-administratorer betyder det, at “nulstil adgangskoden” ofte ikke er nok—incident response skal også omfatte tilbagekaldelse af sessioner/tokens og stramning af godkendelseskontroller.

Hvad er nyt / vigtigste fund fra Microsofts analyse

Tycoon2FA muliggjorde MFA-omgåelse i massiv skala

  • Aktiv siden august 2023 blev Tycoon2FA et af de mest udbredte PhaaS-økosystemer.
  • Microsoft observerede kampagner, der leverede titusindvis af millioner phishingbeskeder og nåede 500.000+ organisationer hver måned på tværs af de fleste sektorer.
  • Kittet leverede AiTM-proxying: det opsnappede legitimationsoplysninger og intercepted session cookies, mens det videresendte MFA-prompts/-koder til den rigtige tjeneste.

En nøglefærdig operatøroplevelse sænkede adgangsbarrieren

Tycoon2FA blev solgt via kanaler som Telegram/Signal og leverede et webbaseret admin panel til at:

  • Vælge brand-impersonation templates (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
  • Konfigurere redirect chains, lokkesider og routinglogik
  • Generere ondsindede lokkefiler (f.eks. leverancer baseret på PDF/HTML/EML/QR code)
  • Spore offerinteraktion og eksfiltrere opsnappede artefakter (herunder via Telegram bots)

Undvigelse og hurtigt roterende infrastruktur

Microsoft fremhæver omfattende anti-analyse- og undvigelsesteknikker, herunder:

  • Anti-bot-kontroller, browser fingerprinting, self-hosted CAPTCHA og code obfuscation
  • Kortlivede domæner (ofte 24–72 timer) med forskellige lavfriktions-TLD’er
  • Omfattende brug af Cloudflare-hosted infrastruktur og hurtig rotation for at holde sig foran blokeringer

Forstyrrelsesaktivitet

Microsofts DCU arbejdede sammen med Europol og partnere om at facilitere en forstyrrelse af Tycoon2FA’s infrastruktur og operationer—et vigtigt skridt, selv om forsvarere bør forvente copycats og retooling.

Konsekvenser for IT-administratorer og slutbrugere

  • MFA alene er ikke tilstrækkeligt mod AiTM, når det er afhængigt af genanvendelige sessionstokens.
  • Kontogendannelse skal omfatte tilbagekaldelse af sessioner/tokens; ellers kan angribere fastholde adgangen selv efter nulstilling af adgangskoden.
  • Mail- og samarbejdsworkloads (Exchange Online, SharePoint/OneDrive) er fortsat primære mål på grund af værdifulde data og muligheder for lateral movement.

Handlinger / næste skridt

  1. Prioritér phishing-resistant authentication (først for højrisikobrugere): bevæg jer mod FIDO2/passkeys, certifikatbaseret godkendelse eller andre phishing-resistente metoder, hvor det er muligt.
  2. Hærd Conditional Access: reducer værdien af token replay (sign-in risk-kontroller, krav om compliant devices, lokationsbegrænsninger og strammere session controls for privilegerede roller).
  3. Gennemgå incident runbooks: sørg for, at respons omfatter revoke sign-in sessions, deaktivering af kompromitterede konti og rotation af legitimationsoplysninger/nøgler efter behov.
  4. Styrk email ingress controls: håndhæv spoof-beskyttelse, brug mail flow-regler hvor det er passende, og vær ekstra opmærksom på attachment-based lures (SVG/HTML/PDF/QR).
  5. Brug Microsoft Defender detections & hunting guidance: operationalisér anbefalingerne om detection og hunting i Microsofts gennemgang for at identificere AiTM-mønstre, token theft og mistænkelig redirect-infrastruktur.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence and Microsoft Defender Security Research Team
phishingAiTMMicrosoft DefenderMicrosoft 365Conditional Access

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.