ティキット – 新しいSVGフィッシングキットがMicrosoftを盗む 365 ログイン

Sensorstechforum.com 調査 — 最近登場したフィッシングサービス (PhaaS) キットダビング ティキット 5月からSVG添付ファイルを武器化している 2025 マイクロソフトの企業を盗む 365 資格. このキットは多段階リダイレクトを組み合わせ, 高度に難読化されたJavaScript, 自動スキャンを回避するためのボット対策チェック, 被害者を本物らしく偽装されたマイクロソフトのログインポータルに誘導する.

SVGファイルを使用する理由? 誤解されている「イメージ」ベクトル

• SVGはXMLベースであり、スクリプトやイベントハンドラを合法的に組み込むことができる。. 攻撃者は、開く/表示すると実行されるJavaScriptを埋め込む, 一見無害なグラフィックをリダイレクトまたは完全なフィッシングページに変える.
• 多くのセキュアメールゲートウェイや添付ファイルフィルタは、依然としてSVGを静的画像のように扱っています。, 詳細なコンテンツ検査の代わりに浅いMIMEチェックを実行する, 悪意のあるサンプルをすり抜けるのに役立つ.
• 業界追跡 2025 企業のメールボックス全体でSVGベースのルアーが急増していることを強調した, プラットフォームの変更と新たな検出を促す.

Tykit攻撃の解剖

• ステージ 1 — SVG経由で配信: メールの誘惑 (請求書, 給与明細書, プロジェクト資産) SVG添付ファイルまたはリンクを運ぶ. 中身, 攻撃者は実行時に自身を再構築するJavaScriptペイロードを隠します (例えば, XOR/文字列分割テクニック) 開いたときにサイレントリダイレクトを実行します.
• ステージ 2 — 「トランポリン」リダイレクト: 被害者は中間ページに送られる ("トランポリン") 軽量のチェックを実行し、時には偽のプロンプトを表示する (例えば, 「最後の 4 電話番号の数字). パラメータ化されたURLには、フローをパーソナライズするためにbase64でエンコードされたメールが含まれることが多い。.
• ステージ 3 — アンチボットゲート: チェーンでは一般的にアンチオートメーションウィジェットが表示される (例えば, Cloudflare ターンスタイル) スキャナーを混乱させ、最終的な引き渡しの前に正当性を作り出す.
• ステージ 4 — 偽マイクロソフト 365 ログイン: 洗練されたレプリカ ページでは、電子メールの形式を検証し、「正しくない」場合はユーザーに資格情報を再入力するよう促します。
• ステージ 5 — リアルタイムの流出: 認証情報が攻撃者のAPIに投稿される (例えば, /api/validate, /api/login), ユーザーの行動を導くレスポンス (成功, エラー, または再試行). キャンペーン間で観察されたインフラストラクチャの重複は、共有キットの再利用を示唆している.

何が危機に瀕しているのか

• 認証情報の盗難 → 下流の侵害: Eメール, OneDrive, 共有ポイント, チーム, その他のM365ワークロードが侵入者にアクセス可能になる.
• ビジネス用メールの侵害 (BEC): 盗まれたアカウントが内部スピアフィッシングを助長, 請求書詐欺, 幹部のなりすまし.
• 横方向の移動: 攻撃者は有効な認証情報を利用して, 特権を昇格させる, ランサムウェアやデータ窃盗を仕掛ける.

既知の指標 & パターン (牙を抜かれた)

• ドメインパターン: segy* — Tykit C2/exfilドメイン内の繰り返し文字列 (例えば, segy[.]example), 旋回や逆方向の探索に便利.
• ファイルアーティファクト: 埋め込まれたSVG, 難読化されたJavaScript; 頻繁なランタイム再構築 (例えば, XOR); の使用法 eval デコード後.
• ネットワークの動作: マルチホップリダイレクト; POSTリクエスト /api/validate と /api/login エンドポイント; 時々発生する二次ログエンドポイント /x.php.
• UXが伝える: 破線の境界線を持つライトブルーの「モーダル」スタイルのSVGアートは、バックグラウンド実行中に視覚的に邪魔になるものとして、いくつかのウェーブで観察されています。.

検出プレイブック (SOC/IR)

• メール/添付ファイルのフィルタリング: SVGをアクティブコンテンツとして扱う. SVG の詳細なコンテンツ検査とサンドボックスデトネーションを有効にする; ビジネス上の正当性が弱い場合はブロックまたは隔離する.
• 行動テレメトリー: SVG レンダリングからのクライアント側リダイレクトに関するアラート; SVG コンテキストでの JavaScript 再構築/評価; SVG 以降に到達したページでの開発ツールのブロックと右クリックの抑制.
• ネットワーク監視: 見慣れないドメインにフラグを付ける segy* 同様のキットクラスター. M365 に類似したホストに至る 302 のシーケンスを検査する.
• 脅威インテリジェンス: 新鮮なIOCを継続的に充実させる, 単一の成果物からピボットする (ドメインパターン, ハッシュ, 着陸経路) 関連インフラへ.

防止 & 硬化 (セキュリティリーダー)

• 強力なMFAとゼロトラストの適用: 条件付きアクセス, サインインリスク評価, フィッシングに耐性のある方法では、たとえ収集されたとしても認証情報の有用性は制限される。.
• 最小権限 & セグメンテーション: 個人情報が漏洩した場合の爆発範囲を縮小.
• 添付ファイルポリシー: 危険な形式をサニタイズまたはブロックする (SVGを含む) 必要のないグループのために; アクティブコンテンツを削除する安全なビューアを好む.
• ユーザーエクスペリエンスコントロール: インラインSVGレンダリングを抑制するメールクライアント/サーバーポリシーを検討する; 「イメージ」ファイルがロジックを実行できることをユーザーに教える.
• 対応準備: アカウントのロック/リセットを練習する, OAuthアプリのレビュー, メールボックスルールの消去, フィッシング詐欺の疑いがある場合のトークンの失効.

迅速トリアージチェックリスト

• メールボックスを検索, ゲートウェイ, アラートウィンドウ周辺で配信されるSVG添付ファイルのEDR.
• 最初のリファラがローカルであるリダイレクトチェーンを探す file:// またはメール送信元のSVGビュー.
• プロキシ/DNSのクエリ segy* ルックアップ, そしてPOSTは /api/validate / /api/login マイクロソフト以外のドメイン.
• 疑わしいページでボット対策ウィジェットや開発ツールの抑制がないか検査する; 難読化されたスクリプトを復元するためにDOMをキャプチャする.
• 影響を受けるアカウントをリセットする, セッション/トークンを取り消す, メールボックスルールとOAuth許可を確認する, MFAを有効化/ステップアップする.

参考文献 & さらに読む

• ANY.RUNによるTykitおよび関連IOCの概要 — 「ティキット: フィッシングキットの概要
• ANY.RUNキャンペーンのセクター別分析 — 「Tykit分析: 「新しいフィッシングキット…」
• TykitのSVGルアーとテンプレートの一貫性に関するレポート — SCワールドの報道
• コンテクスト: SVGがフィッシング詐欺師にとって魅力的な理由 Cloudflareの調査
• SVGフィッシングとアンチボットゲートに関するマイクロソフトと業界の状況 — マイクロソフトの脅威インテリジェンス, テックレーダー (Outlook SVGの変更)

---

TykitのサンプルとIOC: パターンでピボットを開始する domainName:"segy*" 脅威情報プラットフォームで. 共有時にドメインの牙を抜く, パッシブDNSで強化, TLS証明書, WHOISの重複.

新しいTykitサンプルや新しいIOCを入手しました? Sensorstechforum.com でヒントをお送りください.