Security

Tycoon2FA AiTM phishing i zaobilaženje MFA

3 min čitanja

Sažetak

Microsoft analiza pokazuje da je Tycoon2FA, aktivan od avgusta 2023, postao jedan od najraširenijih AiTM phishing servisa koji u velikom obimu zaobilazi MFA presretanjem session kolačića i tokena tokom prijave na Microsoft 365 i druge SaaS servise. Ovo je važno jer organizacije više ne mogu da se oslone samo na lozinke i klasični MFA — odgovor na incident mora da uključi opoziv aktivnih sesija/tokena i jače kontrole autentifikacije, posebno pošto Tycoon2FA kao „ključ u ruke” PhaaS značajno snižava prag za napadače.

Audio sažetak

0:00--:--
Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

AiTM phishing kompleti poput Tycoon2FA menjaju model rizika za Microsoft 365 i druge SaaS prijave: čak i kada korisnici imaju omogućen MFA, napadači i dalje mogu da preuzmu naloge presretanjem session cookies/tokena tokom prijavljivanja. Za IT administratore to znači da „reset lozinke” često nije dovoljan — odgovor na incident mora da uključi opoziv sesija/tokena i pooštravanje kontrola autentifikacije.

Šta je novo / ključni nalazi iz Microsoft analize

Tycoon2FA je omogućio zaobilaženje MFA u masovnom obimu

  • Aktivan od avgusta 2023., Tycoon2FA je postao jedan od najrasprostranjenijih PhaaS ekosistema.
  • Microsoft je uočio kampanje koje isporučuju desetine miliona phishing poruka i dosežu 500.000+ organizacija svakog meseca u većini sektora.
  • Komplet je obezbeđivao AiTM proxying: hvatao je kredencijale i presretao session cookies dok je prosljeđivao MFA upite/kodove ka stvarnoj usluzi.

„Ključ u ruke” iskustvo za operatere smanjilo je barijeru ulaska

Tycoon2FA se prodavao preko kanala kao što su Telegram/Signal i obezbeđivao web-bazirani administrativni panel za:

  • Izbor template-a za imitaciju brenda (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
  • Konfigurisanje redirect lanaca, mamaca i logike rutiranja
  • Generisanje zlonamernih fajlova-mamaca (npr. isporuke zasnovane na PDF/HTML/EML/QR code)
  • Praćenje interakcije žrtve i eksfiltraciju prikupljenih artefakata (uključujući preko Telegram botova)

Izbegavanje detekcije i infrastruktura koja se brzo rotira

Microsoft ističe intenzivne anti-analysis i evasion tehnike, uključujući:

  • Anti-bot provere, browser fingerprinting, self-hosted CAPTCHA i obfuskaciju koda
  • Kratkotrajne domene (često 24–72 sata) sa raznovrsnim TLD-ovima koji se lako nabavljaju
  • Opsežnu upotrebu infrastrukture hostovane na Cloudflare-u i brzu rotaciju kako bi se ostalo ispred blokiranja

Aktivnosti prekida rada

Microsoft DCU, u saradnji sa Europol-om i partnerima, omogućio je prekid Tycoon2FA infrastrukture i operacija — važan korak, iako bi branioci trebalo da očekuju kopije i prilagođavanje.

Uticaj na IT administratore i krajnje korisnike

  • MFA sam po sebi nije dovoljan protiv AiTM kada se oslanja na ponovo upotrebljive session tokene.
  • Oporavak naloga mora da uključi opoziv sesija/tokena; u suprotnom, napadači mogu da ostanu prisutni čak i nakon resetovanja lozinke.
  • Email i kolaboracioni workload-ovi (Exchange Online, SharePoint/OneDrive) ostaju primarne mete zbog podataka visoke vrednosti i mogućnosti lateralnog kretanja.

Akcione stavke / naredni koraci

  1. Dajte prioritet phishing-resistant autentifikaciji (najpre za visokorizične korisnike): pređite ka FIDO2/passkeys, certificate-based auth ili drugim phishing-resistant metodama gde je moguće.
  2. Ojačajte Conditional Access: smanjite vrednost token replay-a (kontrole sign-in risk, zahtevi za device compliance, ograničenja po lokaciji i strože session kontrole za privilegovane uloge).
  3. Pregledajte incident runbook-ove: obezbedite da odgovor uključuje revoke sign-in sessions, onemogućavanje kompromitovanih naloga i rotaciju kredencijala/ključeva po potrebi.
  4. Ojačajte kontrole email ingress-a: primenite zaštite od spoofing-a, koristite mail flow rules gde je prikladno i pažljivo proveravajte mamce zasnovane na prilozima (SVG/HTML/PDF/QR).
  5. Koristite Microsoft Defender detections i hunting smernice: operacionalizujte preporuke za detekciju i hunting iz Microsoft teksta kako biste identifikovali AiTM obrasce, krađu tokena i sumnjivu redirect infrastrukturu.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Threat Intelligence and Microsoft Defender Security Research Team
phishingAiTMMicrosoft DefenderMicrosoft 365Conditional Access

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.