MS-ISAC成员报告的钓鱼活动可能来自Tycoon2FA钓鱼即服务

作者： 互联网安全中心（CIS）网络威胁情报（CTI）团队
发布日期： 2025年10月29日

概述

互联网安全中心（CIS）网络威胁情报（CTI）团队观察到，在2025年8月和9月期间，多州信息共享与分析中心（MS-ISAC）成员提交的钓鱼邮件数量有所增加，其中部分活动很可能与Tycoon2FA钓鱼即服务（PhaaS）工具包有关。这些钓鱼邮件具有共同的主题和战术、技术与程序（TTPs），包括滥用合法服务；通过电子邮件、PDF和二维码传递恶意链接；以及使用虚假验证码页面，通常将受害者重定向到凭证收集网站。

CIS CTI团队对解密载荷的分析显示，与Tycoon2FA存在高度重叠，包括多层混淆、反分析保护以及旨在绕过多因素认证（MFA）的中间人攻击（AiTM）技术。CIS CTI团队以中等信心评估，此活动反映了网络威胁行为者（CTAs）利用Tycoon2FA钓鱼即服务工具包机会性地针对美国州、地方、部落和领土（SLTT）实体。

成员报告的钓鱼邮件的六个显著特征

在2025年8月，CIS CTI团队发现成员报告的钓鱼邮件具有共同主题和TTPs。CIS CTI团队观察到的关键趋势包括：

• 滥用合法服务，例如托管在Microsoft Dynamics 365营销平台上的URL或受Cloudflare Turnstile验证码保护的URL
• 在电子邮件正文、附加的PDF文件中或嵌入二维码中直接传递恶意链接
• 使用虚假验证码页面，完成后将用户重定向到伪装成合法登录门户的钓鱼网站
• 与组织工作政策、人力资源通知或工资/财务更新相关的主题钓鱼诱饵
• 发件人地址变化，约一半邮件使用不匹配的发件人/收件人字段，部分来自被入侵的账户，其余则伪造受害者自己的电子邮件地址
• 一致的反分析措施，包括混淆的JavaScript、浏览器自动化检测、阻止右键功能以及在怀疑分析时重定向到合法网站

Tycoon2FA钓鱼即服务工具包背景

根据SOCRadar的数据，Tycoon2FA钓鱼即服务工具包于2023年8月出现。网络威胁行为者付费使用Tycoon2FA来构建和发起钓鱼活动。Tycoon2FA以其AiTM技术闻名，可窃取会话Cookie以绕过MFA，使网络威胁行为者能够获取受害者账户的访问权限，涵盖Microsoft 365和Google Workspace等流行平台，据Sekoia称。Tycoon2FA拥有不断扩展的功能供网络威胁行为者利用，包括：

• 提供逼真的钓鱼诱饵电子邮件模板
• 生成与合法登录门户极为相似的钓鱼页面
• 部署虚假验证码页面以增强可信度
• 窃取会话Cookie并对浏览器/设备数据进行指纹识别
• 强大的反分析措施，包括多层加密和混淆、浏览器自动化检测、阻止开发者工具快捷键、防止元素检查、调试器检测以及在怀疑最终用户分析时重定向到合法诱饵网站，如Trustwave所述

CIS CTI团队自2024年8月以来一直在跟踪Tycoon2FA和更广泛的钓鱼即服务发展，并在《2024年第四季度季度威胁报告》和题为"Microsoft Teams Tycoon2FA钓鱼活动"的简短分析报告（SFAR）中发布了分析。

钓鱼邮件技术分析

在2025年8月和9月期间，CIS CTI团队观察到成员提交的具有Tycoon2FA钓鱼即服务工具包TTPs的钓鱼邮件数量增加。此活动利用了虚假验证码页面、滥用合法服务并部署了广泛的反分析技术。以下部分提供了对成员提交的由Tycoon2FA钓鱼即服务工具包生成的钓鱼邮件技术分析。

成员提交的钓鱼邮件

成员提交的电子邮件伪造了受害者自己的电子邮件地址，并使用组织名称作为主题，同时看似是一封回复邮件。电子邮件的钓鱼诱饵引用了一份状态报告，并描述了"新批准的提案文件"，其中包含一个名为"[组织名称]提案"的嵌入式超链接。该超链接指向一个虚假验证码页面，如图1所示。虚假验证码页面托管在合法的Microsoft Dynamics 365营销服务上，域名为assets-usa.mkt.dynamics[.]com。

图1：虚假验证码页面

一旦虚假验证码完成，活动将流量定向到网络威胁行为者控制的网页：https[:]//gplwd.chefouje[.]com.de/!ffOrItiO3AkARa/。该页面仅短暂可访问，但CIS CTI分析师从VirusTotal检索到了存档副本进行分析。该网页包含严重混淆的JavaScript，使用分层混淆技术，包括Base64编码、LZString压缩和AES加密，如图2所示。

图2：混淆JavaScript的部分内容

解密的脚本（如图3所示）加载了一个Cloudflare Turnstile挑战，解决后向网关域[1]发送GET请求：https[:]//dnswa.wvhjkdig[.]ru/mori!zwhxt8z6。如果网关响应确切值为"0"，脚本将继续进行POST请求，其中包括一个FormData载荷发送到站点的本地相对路径../pbg6By9zoP2K4DE9Kx2SzMor5EZQNoVqOm1Hcx。在此示例中，它解析为https[:]//gplwd.chefouje.com[.]de/pbg6By9zoP2K4DE9Kx2SzMor5EZQNoVqOm1Hcx。如果网关检查失败或超时且未响应确切值"0"，脚本将受害者重定向到一个良性网站——在此案例中为https[:]//www.rakuten[.]com——作为减少怀疑和逃避分析的诱饵。

图3：去混淆后的JavaScript

Tycoon2FA钓鱼即服务工具包的反分析技术

上述钓鱼邮件样本以及CIS CTI团队分析的其他样本使用了重要的反分析技术，以逃避自动检测、沙箱分析和手动检查。

• 它们滥用合法服务，特别是Microsoft Dynamics 365营销资源，恶意网页动态加载外部脚本，如虚假验证码，这将延迟执行，直到检测到预期的文档对象模型（DOM）元素。
• 所有样本中的JavaScript都经过严重混淆，采用分层编码和加密技术。
• 向网关域发送GET请求确保仅在服务器响应特定值（如上述示例中的"0"）时才执行载荷。否则，它将受害者重定向到合法网站。
• 为了进一步复杂化分析，配置密钥是动态构建的，并且在脚本执行后从DOM中移除脚本元素。

本报告中的钓鱼邮件样本以及其他MS-ISAC成员提交的钓鱼邮件具有与Tycoon2FA钓鱼即服务工具包能力一致的TTPs。此外，从URL查询和Joe Sandbox的开源研究中识别出多个用于初始登录页面和利用混淆JavaScript的网页域是由Tycoon2FA生成的。

加强您的美国SLTT反钓鱼措施

作为美国SLTT组织，您处于防御网络威胁的前线。MS-ISAC成员资格为您的组织提供了一个强大的网络防御生态系统，这是商业供应商或其他政府计划无法复制的。MS-ISAC成员在季度威胁报告和月度成员会议上收到关于Tycoon2FA钓鱼即服务工具包等威胁的早期报告。此外，MS-ISAC成员收到更详细的报告，专为美国SLTT网络防御操作员和决策者量身定制，包括特定的事件响应发现和妥协指标。此信息旨在提供可操作的威胁情报，直接支持主动防御和知情决策。

准备好将您的防御提升到新水平了吗？

[1] 网关域是由威胁行为者控制的域，充当过滤或分段的控制访问点。当被访问时，它评估特定条件，如IP地址、地理位置和用户代理，以确定下一步行动。如果满足特定条件，网关将请求转发到恶意活动网络杀伤链的下一步。如果未满足特定条件，它不会转发请求，并通常将用户重定向到良性网站以避免检测。

成为MS-ISAC成员
截至2025年6月23日，MS-ISAC已推出基于费用的成员资格。任何可能提及免费MS-ISAC服务的内容不再适用。成为MS-ISAC成员