摘要:Tycoon 2FA钓鱼即服务平台运作概览自2023年9月起,Trustwave威胁情报团队持续追踪一个由Storm-1575黑客组织运营的复杂钓鱼生态系统,该组织同时运营Dadsec平台和新兴的Tycoon2FA平台。这些钓鱼即服务(PhaaS)工具包通过绕
平台特征与基础设施重叠
Tycoon2FA和Dadsec为犯罪团伙提供用户友好界面、定制钓鱼模板和自动化凭证收集功能。Trustwave分析发现两个平台存在以下共同特征:使用相同的PHP有效载荷(如res444.php、cllascio.php和.000.php)采用含混淆受害者邮箱标识符的统一URL结构通过CyberPanel等开源托管工具注册.RU顶级域名报告解释称:"多个域名重复使用相同模板的现象表明存在集中化的钓鱼基础设施。"Part02中间人攻击技术解析
Tycoon2FA的核心优势在于其AiTM能力。当受害者输入凭证时:多阶段钓鱼攻击流程
第一阶段——初始访问攻击邮件包含HTML或PDF附件,以人力资源、财务或安全相关主题诱导受害者。文件中嵌入的JavaScript通过混淆和Base64编码脚本动态获取钓鱼有效载荷。第二阶段——验证码与信息收集用户会遭遇定制的Cloudflare Turnstile验证挑战,该机制兼具反机器人筛查和数据收集功能:IP地址用户代理信息来源数据第三阶段——反分析与混淆高级脚本可检测渗透测试工具,并禁用网页检查功能(如右键菜单和键盘记录尝试)。该脚本设计用于执行多种防御规避技术,可检测自动化分析工具、限制人工检查并干扰安全研究工作。第四阶段——凭证窃取当获取邮箱凭证后,钓鱼网站会启动全功能自动登录界面或备用媒体/文档界面,诱使用户误以为正在访问真实服务。第五阶段——数据枚举与外泄被盗数据(含邮箱、密码、IP地址和地理位置)经AES加密后,通过AJAX请求传输至攻击者控制的C2基础设施。该脚本还能向“geojs”发送GET请求,获取国家、地区和城市等详细信息。Part04威胁态势与防御建议
Trustwave确认Tycoon2FA活动在2024年7月至2025年3月期间激增,使其成为当前最活跃的钓鱼工具包之一。Tycoon2FA和Dadsec标志着钓鱼攻击进入自动化、规避性强且可规模化实施的新时代。通过整合会话劫持和强大规避机制,Storm-1575模糊了社会工程学与国家级别攻击技术之间的界限。企业需加强检测能力以识别AiTM钓鱼攻击,追踪基于PHP的有效载荷,并监控可疑的Cloudflare验证事件。零信任原则和基于行为的分析对于阻止这些高级钓鱼攻击至关重要。参考来源:
New Phishing-as-a-Service Kits Bypass MFA & Target Microsoft 365 Users Globallyhttps://securityonline.info/new-phishing-as-a-service-kits-bypass-mfa-target-microsoft-365-users-globally/来源:FreeBuf
