Tycoon2FA AiTM-фишинг: как обходили MFA

Введение: почему это важно

AiTM-фишинг-наборы вроде Tycoon2FA меняют модель рисков для входа в Microsoft 365 и другие SaaS: даже при включенном MFA злоумышленники все равно могут захватывать учетные записи, перехватывая session cookies/tokens во время входа. Для IT-администраторов это означает, что «сброс пароля» часто недостаточен — реагирование на инцидент должно включать отзыв сессий/токенов и ужесточение контролей аутентификации.

Что нового / ключевые выводы из анализа Microsoft

Tycoon2FA обеспечивал обход MFA в огромных масштабах

• Активен с августа 2023, Tycoon2FA стал одной из наиболее распространенных PhaaS-экосистем.
• Microsoft наблюдала кампании, доставлявшие десятки миллионов фишинговых сообщений и охватывавшие 500 000+ организаций ежемесячно в большинстве отраслей.
• Набор предоставлял AiTM-proxying: он собирал учетные данные и перехватывал session cookies, параллельно ретранслируя запросы/коды MFA на реальный сервис.

Готовый «под ключ» опыт для операторов снижал порог входа

Tycoon2FA продавался через каналы вроде Telegram/Signal и предоставлял веб-панель администратора, позволяющую:

• Выбирать шаблоны имперсонации бренда (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
• Настраивать цепочки редиректов, приманки и логику маршрутизации
• Генерировать вредоносные файлы-приманки (например, доставки на базе PDF/HTML/EML/QR code)
• Отслеживать взаимодействие жертвы и эксфильтровать перехваченные артефакты (в том числе через Telegram bots)

Эвазия и быстро ротируемая инфраструктура

Microsoft отмечает активное использование антианалитических и эвазионных техник, включая:

• Anti-bot проверки, browser fingerprinting, self-hosted CAPTCHA и обфускацию кода
• Короткоживущие домены (часто 24–72 часа) с разнообразными низкотрениевыми TLD
• Масштабное использование инфраструктуры, размещенной в Cloudflare, и быструю ротацию, чтобы опережать блокировки

Действия по нарушению работы инфраструктуры

DCU Microsoft, работая с Europol и партнерами, способствовала нарушению работы инфраструктуры и операций Tycoon2FA — важный шаг, однако защитникам следует ожидать подражателей и переработки инструментария.

Влияние на IT-администраторов и конечных пользователей

• Одного MFA недостаточно против AiTM, если он опирается на повторно используемые session tokens.
• Восстановление учетных записей должно включать отзыв сессий/токенов; иначе злоумышленники могут сохранять доступ даже после сброса пароля.
• Почтовые и коллаборационные нагрузки (Exchange Online, SharePoint/OneDrive) остаются первоочередными целями из-за высокоценной информации и возможностей для lateral movement.

Действия / следующие шаги

1. Приоритизируйте phishing-resistant аутентификацию (сначала для пользователей с высоким риском): по возможности переходите на FIDO2/passkeys, certificate-based auth или другие phishing-resistant методы.
2. Усилите Conditional Access: снижайте ценность token replay (контроли sign-in risk, требования device compliance, ограничения по локации и более строгие session controls для привилегированных ролей).
3. Пересмотрите incident runbooks: убедитесь, что реагирование включает revoke sign-in sessions, отключение скомпрометированных учетных записей и ротацию учетных данных/ключей по мере необходимости.
4. Укрепите email ingress controls: обеспечьте защиту от spoofing, при необходимости используйте mail flow rules и тщательно проверяйте приманки на основе вложений (SVG/HTML/PDF/QR).
5. Используйте детектирование Microsoft Defender и guidance по hunting: внедрите рекомендации по детектированию и hunting из материала Microsoft, чтобы выявлять AiTM-паттерны, кражу токенов и подозрительную redirect-инфраструктуру.