1. 執行摘要

本報告分析了Tycoon 2FA釣魚套件的最新進化,根據Trustwave SpiderLabs的近期調查詳述。Tycoon 2FA是一個精密的Adversary-in-the-Middle (AiTM)釣魚平台,主要針對Microsoft 365和Gmail帳戶,現已採用新的規避技術以繞過安全掃描器。此技術涉及多階段Payload傳遞,特別利用Cloudflare Workers來託管和傳遞核心惡意JavaScript元件,這是在使用者互動 之後 才執行,從而提高其隱蔽性和對靜態分析工具的有效性。其最終目標仍是竊取成功通過多因素認證 (MFA) 後的session cookies。

日期: 2025年4月14日

【警告】Tycoon 2FA 新型 MFA 繞過攻擊鎖定 M365/Gmail - 你的組織安全嗎? | 資訊安全新聞

2. 簡介

Adversary-in-the-Middle (AiTM)釣魚攻擊對組織安全構成重大威脅。與僅偷取認證(Credentials)的傳統釣魚不同,AiTM攻擊作為反向代理,攔截使用者和合法服務之間的流量。這使攻擊者不僅能偷取使用者名稱和密碼,還能竊取成功通過MFA後取得的session cookies,有效繞過這一關鍵安全層。Tycoon 2FA釣魚套件是此類工具的典型範例。本報告詳細介紹了其在2024年底/2025年初識別出的一項重大更新,聚焦於一種新穎的規避檢測技術。

3. Tycoon 2FA釣魚套件概述

  • 目標: 主要針對Microsoft 365和Gmail使用者。
  • 方法: 採用AiTM(反向代理)方式。
  • 目的: 竊取受害者在成功認證(包括通過MFA挑戰)後的有效session cookies。
  • 機制: 向受害者展示令人信服的假登錄頁面。當輸入認證時,套件將認證嘗試代理到合法服務(例如Microsoft Login)。它攔截MFA挑戰,呈現給使用者,並將使用者的回應傳回合法服務。成功認證後,套件在將使用者重新導向(通常回到合法服務以降低懷疑)之前捕獲生成的session cookie。

4. 新規避技術:兩階段Payload傳遞

Trustwave強調的關鍵創新是轉向兩階段攻擊流程,目的在增強規避能力:

  • 階段1:初始登入頁面: 受害者首先到達釣魚頁面。關鍵在於,此階段頁面包含最少的惡意程式碼。它可能僅呈現初始使用者名稱/密碼提示,但缺乏執行AiTM代理和MFA攔截所需的複雜JavaScript。此初始頁面對於直接分析登入頁面URL的自動化安全掃描器來說,更可能顯得無害。
  • 階段2:透過Cloudflare Workers延遲JavaScript Payload: 僅在使用者與初始頁面互動(例如送出電子郵件地址或密碼) 之後 ,頁面才動態獲取主要惡意JavaScript Payload。此Payload託管於 Cloudflare Workers
    • Cloudflare Workers: 使用Cloudflare Workers為攻擊者提供了可靠且可能具備聲譽的基礎設施層,僅基於IP位址或網域進行封鎖更加困難。它允許無伺服器執行JavaScript Payload。
    • 規避機制: 透過延遲傳遞核心惡意腳本(Malicious script),攻擊者確保掃描初始URL的安全工具可能無法檢測到威脅。惡意邏輯僅在使用者互動後於 使用者瀏覽器中 載入並執行,繞過對初始登入頁面資源的靜態分析。

5. 主要技術發現

  • 使用隱形Unicode字元與Proxy進行混淆:Tycoon 2FA釣魚套件利用隱形Unicode字元(Halfwidth Hangul FillerHangul Filler)在登陸頁面中編碼二進制資料。此技術結合JavaScript Proxy物件,使靜態分析變得極具挑戰性。真正的惡意JavaScript程式碼在運行時動態重建並執行,規避初始檢測。
  • 反除錯JavaScript措施:該套件納入多種反除錯腳本(Anti-debugging scripts),以阻礙安全研究人員和自動化系統的分析。這些措施包括:
    • 檢測瀏覽器自動化工具(例如navigator.webdriver、PhantomJS、Burp Suite)。
    • 封鎖常見開發者工具快捷鍵(F12、Ctrl+Shift+I、Ctrl+U)。
    • 阻止右鍵點擊以禁用「檢查元素」選項。
    • 使用帶有時間檢查的debugger,識別腳本執行是否被暫停。
  • 檢測後重新導向:若反除錯腳本檢測到任何分析跡象,使用者會立即被重新導向至合法網站(例如hoeasys.com),進一步隱藏惡意活動。
  • 基於HTML5的視覺效果:釣魚套件採用HTML5元素,例如客制CAPTCHA,以增強釣魚企圖的表面合法性,欺騙使用者。

6. 影響與重要性

Tycoon 2FA的這一進化展示了攻擊者與防禦者之間持續的鬥智遊戲。

  • 增強隱蔽性: 主要影響是顯著降低了依賴於分析初始存取登入頁面內容的安全解決方案的可檢測性。
  • 對安全工具的挑戰: 要求安全解決方案執行更深入的分析,可能包括動態分析(沙箱)或監控來自已知惡意基礎設施(如Cloudflare Workers)的次要資源獲取(儘管原因可能複雜)。
  • 韌性: 使用像Cloudflare Workers這樣的強大平台使封鎖更具挑戰性。

7. 緩解策略

Trustwave和一般安全最佳實踐建議採取多層次方法:

  • 抗釣魚MFA: 實施FIDO2/WebAuthn是最有效的技術控制措施,可防止AiTM攻擊,因為認證綁定到合法來源,阻止中繼(Relay)。
  • 使用者教育: 訓練使用者辨識釣魚企圖、驗證URL,並對意外的登錄提示保持懷疑至關重要。
  • 條件式存取策略(Conditional Access Policies): 在像Microsoft Entra ID(Azure AD)這樣的平台中設定策略,根據位置、設備合規性或風險級別限制登錄,可以阻止或標記可疑嘗試。
  • 網路流量分析與出口過濾(Egress Filtering): 監控連接到已知惡意網域或與AiTM套件相關的可疑模式的出站網路流量。過濾出口流量可以阻止C2通訊
  • 瀏覽器安全: 利用瀏覽器安全功能和擴展,檢測並阻止惡意腳本或已知釣魚網站。
  • 威脅情報: 訂閱威脅情報,以獲取與Tycoon 2FA及類似威脅相關的最新Indicators of Compromise (IoCs)

8. 結論

Tycoon 2FA釣魚套件採用使用Cloudflare Workers的兩階段Payload傳遞系統,標誌著AiTM規避策略的重大進展。透過延遲部署其核心惡意JavaScript,它有效繞過了傳統靜態掃描方法。這凸顯了防禦策略持續適應的必要性,強調抗釣魚MFA、強大的終端和網路監控、動態分析能力以及持續使用者意識培訓的重要性,以對抗這些不斷演變的威脅。

9. 參考資料

  1. Tycoon2FA New Evasion Technique for 2025
  2. Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA, May 09, 2024