大型AiTM網釣平臺Tycoon 2FA捲土重來，遭執法活動破壞後，僅兩天就回復先前狀態

資安公司CrowdStrike指出，Tycoon 2FA僅有在3月4日及5日兩天，活動量驟減至執法行動之前的25%，不過，在此之後就回復至先前的運作狀態。值得留意的是，Tycoon 2FA在遭到查緝後並未調整主要攻擊手法，突顯背後的網路犯罪團體的適應力與技術能力都很強，執法機關在無法直接逮捕駭客與實際破壞基礎設施的情況下，往往只能干擾網路犯罪的運作來增加駭客的運作成本。對此，CrowdStrike認為，企業還是需要採取持續、深度的防禦策略，來對抗運用這類網釣平臺的攻擊活動。

在3月3日執法行動開始造成該網釣套件服務運作中斷後，CrowdStrike觀察到多種駭客運用的手法，包含商業郵件詐騙（BEC）、電子郵件的回覆串挾持、雲端帳號接管，以及入侵SharePoint環境等，最終目的都是散布惡意網址，然後將使用者導向Tycoon 2FA套件。在這些攻擊活動中，駭客企圖濫用Cloudflare的環境，並搭配另一個網釣套件Salty2FA有關的基礎設施，不過並未成功，原因很可能是Cloudflare正在阻斷Tycoon 2FA的運作。

從3月4日至6日，CrowdStrike至少參與30起與Tycoon 2FA有關的網釣事故，當中運用超過12個誘餌及擷取憑證的網頁。此外，經營此套件的網路罪犯通常濫用生成式AI產生誘餌網頁，部分代管釣魚網頁的網域從2025年註冊及使用，代表這些網域可能未受到執法活動波及。

一旦攻擊者得逞，成功取得憑證及多因素驗證（MFA）權杖（Token），Tycoon 2FA平臺就會自動登入受害者的微飲EntraID帳號。CrowdStrike總共看到駭客使用至少11個IP位址來進行相關工作，其中有8個是本月才出現，這代表他們可能在執法行動之後取得。