フィッシングキットTycoon 2FA、新たなトリックでMicrosoft 365を標的に

4月12〜14日：サイバーセキュリティ関連ニュース

フィッシングキットTycoon 2FA、新たなトリックでMicrosoft 365を標的に

BleepingComputer – April 12, 2025

フィッシング・アズ・ア・サービス（PhaaS）プラットフォームのTycoon 2FAがいくつかのアップデートを実施し、そのステルス性能と回避能力が向上しているという。Trustwaveが報告した。

Tycoon 2FAは、Microsoft 365やGmailのアカウントに設定された多要素認証（MFA）を回避できることで知られるフィッシングキット。2023年10月に発見され、2024年3月には大幅なアップデートにより巧妙さや有効性が向上したことが報告されていた。今回Trustwaveが新たに公開したレポートによれば、主に以下3つの改良が施されているという。

①Unicodeの空白文字とプロキシの利用：1つ目の改良点は、JavaScript内のバイナリデータを隠すため、目に見えないUnicodeの空白文字が使われるようになっている点。このテクニックとJavaScript Proxyオブジェクトを併せて用いることで、静的分析を難しくするとともに実行時までスクリプトの実行を保留にすることができるという。

②Cloudflare TurnstileからカスタムCAPTCHAへの切り替え：Tycoon 2FAはこれまで、その他多くのフィッシングキットと同様にCloudflare TurnstileなどのサードパーティCAPTCHAサービスを利用してボット対策を行っていた。しかし現在は HTML5 canvasで描写されたセルフホストのCAPTCHA画面が使われるようになっている。この背景には、フィンガープリント作成や検出がなされにくくする目的や、フィッシングページコンテンツに関するカスタマイズ性を向上させる目的があるものとみられる。

③アンチデバッグJavaScriptの導入：セキュリティ研究者の取り組みを妨げ、検出を送らせるためにアンチデバッグスクリプトが導入されている。このスクリプトは、PhantomJSやBurp Suiteといったブラウザ自動化ツールを検出したり、解析作業に関連する特定のアクションをブロックしたりすることが可能。セキュリティボットを思わせる疑わしい行動が検知されると、ユーザーはデコイページに飛ばされるか、「rakuten.com」など正規のWebサイトへリダイレクトされる。

Trustwaveは以上3つの回避戦術について、1つ1つが真新しいものというわけではないものの、組み合わされることによって大きな違いが生まれると指摘。検出はもちろん、フィッシングインフラを暴いたりテイクダウンに繋げたりするための分析作業も難しくなるという。同社また別の、しかし関連するレポートにおいて、Tycoon2FAやMamba2FA、Sneaky2FAといったPhaaSプラットフォームの影響により、フィッシング攻撃で悪意あるSVGファイルが使われるケースが激増しているとも報告。こうした脅威から自組織を守るため、EメールゲートウェイでSVGファイルのブロック・フラグ付与を行うなどの防御策や、フィッシン

ViperSoftXマルウェア：アラビア語話す攻撃者が新たなキャンペーンでPowerShellを悪用

Securityonline[.]info – April 13, 2025

アラビア語を話す攻撃者らによるものと思われる、ViperSoftXマルウェア配布キャンペーンについてAhnLab Security intelligence Center（ASEC）が報告。攻撃者は、2025年4月1日から韓国国内のターゲットを攻撃し始めているという。

ViperSoftXは正規のプログラムを装い、主にクラック版ソフトウェアやトレントを通じて配布されるマルウェア。PowerShell スクリプトで動作し、C2サーバー通信プロセスでURIパスに「/api/」、「/api/v1」、「/api/v2」、「/api/v3/」のようなパラメータ情報を含み、C2通信後に追加のマルウェアをダウンロードするという特徴を持つとされる。

ViperSoftXによってダウンロードされる追加のマルウェアは以下：

• VBSダウンローダー：攻撃者のC2サーバーからPowerShellファイルとVBSファイルをダウンロードし、実行するコンポーネント。C:\ProgramData\System Loaderというフォルダを作成し、「run.vbs」というVBSファイルが存在すればこれを実行する。
• PowerShellダウンローダー：PureCrypterとQuasar RATをダウンロード・実行するスクリプト。管理者権限を確保し、セキュリティソフトウェアを回避してリモートでダウンロードしたマルウェアを実行する役割を持つ。
• PureCrypter：2021年から販売されている商用 .NET Packer マルウェアで、今回の攻撃ではダウンローダーとして使われている。ネットワーク通信のために protobuf ライブラリを使用することにより、攻撃者はC2サーバーと通信する際、コマンドや状況情報などをあらかじめ定義されたメッセージ構造でシリアライズして送信することができるという。
• Quasar RAT：キーロギング、リモートコマンド実行、ファイルアップロード/ダウンロードといった機能を提供するオープンソースのリモートアクセスツール（RAT）。攻撃者らはこのRATを使って感染したシステムを遠隔操作しているのではないかと考えられている。

ASECによれば、PowerShellとVBScriptの両ペイロードにアラビア語のコメントが埋め込まれていることから、関与する脅威アクターはアラビア語話者である可能性が高いという。また今回のキャンペーンでViperSoftXがインストールするマルウェアはPureCrypterとQuasar RATだが、ほかのマルウェアも同時にインストールされる可能性が存在するため、ASEC は関連するタイプのマルウェアのモニタリング・対応を続けているとのこと。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性