보안정보

보안 연구진은 3월 4일 활동이 중단된 Tycoon2FA 피싱 서비스형 플랫폼(PhaaS)이 최근 법 집행 기관의 단속 이후에도 빠르게 정상 운영 수준으로 복구됐다고 밝혔다.

해당 플랫폼은 3월 4일 유럽 수사기관과 협력 기관에 의해 차단됐으며, 기술적 조치는 한 보안 기업이 주도했다. 

이 과정에서 Tycoon2FA의 핵심 인프라에 해당하는 330개의 도메인이 압수됐으며, 여기에는 공격에 사용된 피싱 페이지와 제어 패널이 포함됐다.

그러나 이러한 단속 효과는 오래 지속되지 않았다. 

한 보안 연구진에 따르면, 사이버 범죄 서비스는 며칠 만에 기존 수준의 활동량을 회복했다.

연구진은 "3월 4일과 5일에는 공격 활동량이 기존 대비 약 25% 수준으로 감소했다"고 밝혔다.

하지만 "이후 해당 수치는 빠르게 회복되어, 클라우드 침해에 대한 일일 활성 복구 건수는 2026년 초 수준으로 돌아왔다"고 설명했다.

Tycoon2FA는 약 2년 전 처음 공개된 피싱 플랫폼으로, Microsoft 365와 Gmail 계정을 주요 표적으로 삼는다. 

중간자 공격(Adversary-in-the-Middle) 기법을 활용해 2단계 인증(2FA)을 우회할 수 있는 것이 특징이다.

한 달 후 운영자는 지속적으로 기능을 개선하며, 더 많은 사이버 범죄자를 유입시키기 위해 고도화된 기능을 추가해온 것으로 알려졌다.

Tycoon2FA는 피싱 공격 생태계에서 영향력이 큰 플랫폼이다.

한 기술 기업에 따르면 매월 약 3천만 건의 피싱 이메일 생성에 관여한다고 한다.

이는 해당 기업이 차단한 전체 이메일의 62%에 해당한다.

최근 분석에 따르면, Tycoon2FA는 기존과 유사한 전술·기술·절차(TTP)를 유지한 채 다양한 범죄 활동에 활용되고 있다. 

여기에는 BEC(기업 이메일 침해), 이메일 스레드 하이재킹, 클라우드 계정 탈취, 악성 SharePoint 링크 유포 등이 포함된다.

단속 이후에도 공격자는 단축 URL 서비스, 정상 프레젠테이션 플랫폼의 리디렉션 기능, 그리고 침해된 도메인을 활용한 악성 이메일 활동을 지속한 것으로 확인됐다.

[그림 1. Tycoon2FA 공격에 사용된 AI 생성 미끼 웹 페이지]

또한 일부 기존 인프라는 여전히 활성 상태였으며, 이는 단속이 완전하지 않았음을 시사한다. 

 

동시에 새로운 피싱 도메인과 IP 주소도 신속하게 등록된 것으로 나타났다.

침해 이후 활동으로는 이메일 규칙 생성, 사기 메일을 숨기기 위한 비공개 폴더 생성, BEC 공격 준비 등이 확인됐다.

보안 연구진은 "체포나 물리적 장비 압수 없이 인프라만 차단할 경우, 공격자는 빠르게 복구할 수 있다"고 지적했다. 

 

이어 "피싱 생태계의 수요가 지속되는 한, 이러한 서비스형 공격 플랫폼은 계속 운영될 것"이라고 덧붙였다.

출처

https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-platform-returns-after-recent-police-disruption/