全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

admin 2024年12月20日15:53:52评论43 views字数 5990阅读19分58秒阅读模式

互联网上最为猖獗的网络犯罪即服务行动之一最近遭遇挫折:11 月,Sophos MDR 注意到 Rockstar2FA“网络钓鱼即服务”(PaaS) 平台的检测突然消失了。

根据 Sophos MDR 收集的遥测数据,运行该服务的组织似乎经历了基础设施至少部分崩溃,与该服务相关的页面不再可访问。这似乎不是因为删除操作,而是由于服务后端的一些技术故障。

Rockstar2FA 是名为 DadSec 的网络钓鱼服务(之前与微软的 Storm-1575 威胁组织有关)的升级版本,该服务消失的两周前,TrustWave 发布了一份详细介绍网络钓鱼即服务操作的研究报告。网络钓鱼服务基础设施的元素现在已无法访问,返回 HTTP 522 响应 - 表明它们已与 Cloudflare 内容交付网络断开连接。与该服务的命令和控制相关的 Telegram 频道似乎也已下线。

在 Rockstar2FA 被破坏后的几周内,我们观察到一组类似的 PaaS 门户的使用量激增,一些研究人员将这些门户标记为“FlowerStorm”——这个名字源于许多钓鱼页面本身的 HTML 页面标题中使用与植物相关的术语(例如“花”、“芽”、“开花”和“叶”)。FlowerStorm 与 Rockstar 和另一个由 Telegram 机器人驱动的 PaaS 平台 Tycoon 有许多共同的功能。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

你想成为钓鱼大哥吗?

Rockstar2FA 是一个(或许曾经是)PaaS 套件,它模仿了常用云和软件即服务平台的合法凭证请求行为。潜在的网络犯罪分子通过 Telegram 购买和控制网络钓鱼活动,并获得一个独特的网络钓鱼页面和 URL 以用于他们的活动。通过传递给目标的链接进行的访问会传递网络钓鱼;访问网站本身的域会被路由到“诱饵”页面。Rockstar 的诱饵页面通常以汽车为主题。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 1:Rockstar2FA“诱饵”页面

访问该 URL 的访问者将被引导至一个伪造的 Microsoft 登录页面。该页面会捕获凭据和多因素身份验证令牌,并通过 HTTP POST 消息将其发送到攻击者控制的“后端服务器”页面 — 一个 PHP 页面,其名称看似是一个随机数字(如图 2 所示)。这些后端服务器主要位于 .ru、.de 和 .moscow 注册域上。诱饵页面通常与后端服务器托管在同一台主机上。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 2:从 Rockstar2FA 网络钓鱼页面发送到 .ru 域上的后端服务器的 HTTP POST 数据(在 Chrome 开发者工具视图中显示)

大多数钓鱼页面都位于 .com、.de、.ru 和 .moscow 顶级域名上。Rockstar2FA 服务在任何给定时间都使用这些和其他顶级域名中的大约 2,000 个域名。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 3:Rockstar2FA 十大钓鱼域名(按 TLD 分布)

然而,从 2024 年 6 月开始,其中一些页面使用了Cloudflare Pages 无服务器部署(使用域 pages[.]dev),以及作为 Cloudflare 工作程序部署的代码(在域 worker[.]dev),同时仍然依赖后端服务器来窃取网络钓鱼数据。这些网络钓鱼页面使用的子域名似乎不是使用域生成算法 (DGA) 创建的,相反,它们似乎是由该工具包的操作员手动输入的。有些是为了模拟特定的目标域而制作的(例如 4344655-proofpoint-online-secure.pages[.]dev)。但其他一些类似于键盘垃圾邮件:

  • 当你创建任何相同的域时,域使用将变成lite.pages[.]dev

  • pppaaaaulhaaaammmlinnnnbuiiildddeeeerrsssssnzzzzzozzzz.pages[.]dev

这些域名仅占与 Rockstar 相关的整体 URL 的一小部分,并且通常与网络钓鱼门户本身相关。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 4:5 月 24 日至 11 月 12 日期间每天检测到的新 Rockstar URL,按顶级域名分组。随着活动的进展,.ru 域名的使用量逐渐减少,而 .com TLD 的使用量则不断增加。11 月的数据截至 11 月 12 日,此时新检测量下降。pages.dev 的使用量每月仅限于少数几个主机名。
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

技术困难

11 月 11 日,Rockstar2FA 的基础设施突然中断。重定向到诱饵页面失败,导致 Cloudflare 出现 522 错误,表明提供该页面的服务器不再与 Cloudflare 通信。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场图 5. 与诱饵页面域名的连接失败

此外,门户页面开始出现故障。之前,单击 Cloudflare“我是人类”测试会导致加载伪造的 Microsoft 登录门户,而现在加载的只是动画 Outlook 徽标。门户页面的其余脚本失败,因为与后端服务器的连接(通过 POST 请求)已断开。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 6:现已失效的网络钓鱼工具包显示的 Microsoft Outlook 动画徽标

pages[.]dev 托管的门户页面也存在同样的问题,它们在尝试连接到后端 URL 时也会挂起。自 11 月以来,我们不断看到在 pages[.]dev 子域上设置的新钓鱼门户页面,但它们都无法连接到后端服务器。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 7:对 Rockstar2FA 后端服务器的 POST 请求失败

这表明运营商仍在努力让其基础设施恢复正常。这可能是由于网络托管问题或困扰 Rockstar2FA 运营商的其他技术问题。用于运行该服务的 Telegram 机器人似乎也已关闭,这表明运营受到了某种更大规模的干扰。

冉冉升起的摇滚明星(?):FlowerStorm

在 Rockstar 中断后大约一周半的时间里,我们看到 FlowerStorm 的活动激增,尽管我们还发现其中许多网站也受到了干扰。FlowerStorm PaaS 平台至少从 2024 年 6 月起就一直处于活跃状态。

通过查看 FlowerStorm 样本的行为,我们发现门户使用相同的 URL 向目标发送身份验证请求,就像向“后端门户”发送通信请求一样 - 在本例中,是向使用文件“next.php”的后端服务器发送请求。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 8:来自 FlowerStorm 钓鱼页面的 HTTP 请求

在这种情况下,根据 EntraID 登录日志,用于获取凭证的相同 IP 地址也用于对用户帐户进行身份验证。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 9:钓鱼服务后端服务器上中间人脚本登录的 EnteraID 日志。

钓鱼页面与后端服务器 PHP 文件的通信利用了以下预期字段和通信:

字段描述和预期值

场地/赛事 描述 值/示例
指定所请求的操作。 “check” – 用于检查操作 “login” – 用于登录事件
检查验证 服务器定期检查身份验证方法的状态。 – 执行:“checkVerify”- 令牌:<token>- 用户:<email>- 服务:“notif”- 密钥:<base64_encoded_password>
电子邮件 用户的电子邮件地址。 <电子邮件>
经过 用户的密码,在“登录”时需要输入。 base64编码的密码
令牌 包含会话信息的 JWT。 <JWT_Token>

预期反应和解释

行动 回复 描述
查看 { “状态”:“成功”, “横幅”:空,“背景”:空,“federationLogin”:“”, “类型”:“办公室” } 表明电子邮件有效并发出令牌。
登录 { “status”:“验证”, “message”:“请验证您的帐户”, “method”:“<base64 编码的方法响应>”, “token”:“<JWT_Token>”, “key”:“<base64_encoded_password>”, “user”:“<email>” } 提示使用相同的 JWT 进行 MFA 会话跟踪。
方法 { “status”: true, “data”: “<base64 编码的会话数据>”, “number”: 59 } 发布用于 MFA 的特定会话数据。
方法(数据解码) [{ “authMethodId”:“PhoneAppNotification”, “数据”:“PhoneAppNotification”, “isDefault”:true},{ “authMethodId”:“PhoneAppOTP”, “数据”:“PhoneAppOTP”, “phoneAppOtpTypes”:[“MicrosoftAuthenticatorBasedTOTP”]} ] 详细说明用户可用的多因素身份验证方法。
检查验证(失败) { “status”: false, “message”: “验证失败”, “token”: “<JWT_Token>” } 服务器开始检查 MFA 是否接受。
检查验证(成功) { “<string_with_session_cookies>” } MFA 已被接受,响应包含用于身份验证的会话 cookie。

并非所有钓鱼页面都使用相同的后端服务器结构。一些门户网站将使用与钓鱼登录页面托管在同一域上的 next.php。EntraID 身份验证日志中的 IP 地址对于这些门户网站来说并不相同。例如,在以下情况下,钓鱼页面 protectionwearsupplies[.]doclawfederal[.]com/wQBPg/ 将其 post 请求发送到具有相同域名的不同主机:

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 10:钓鱼页面与独立主机上的后端服务器通信的 HTTP 标头数据
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 11:钓鱼页面 protectionwearsupplies[.]doclawfederal[.]com/wQBPg/ 的开发者浏览器视图

Rockstar2FA/ FlowerStorm 相似之处

FlowerStorm 与 Rockstar2FA 有很多相似之处,无论是其钓鱼门户页面的格式还是与后端服务器的连接。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

文档对象模型

FlowerStorm 门户页面的 HTML 在过去六个月中发生了变化,但仍保留了与 Rockstar 页面类似的文档对象模型 (DOM) 内容。旧版和新版 FlowerStorm 钓鱼页面的 HTML 页面(如 Rockstar2FA 的页面)在 HTML 注释中包含随机、不相关的文本字符串,使用 Cloudflare“旋转门”键提示检查传入的页面请求,并具有其他类似的结构和内容,如下所示:

新花风暴 旧版 Rockstar2FA 老花风暴
标题 牛至叶 与众不同 接骨木
旋转闸门 Sitekey 0x4AAAAAAA0_fAGSk-ZDbrja 0x4AAAAAAhiG1SBeMjCx4fG 0x4AAAAAAceMeRudDiJWXJJ
表单提交脚本 茴香花 瑙蒂利 勇敢
评论主题 文学/学术 汽车、健身、水果 汽车、生活方式、水果
可见安全文本 “初始化浏览器安全协议” “正在运行浏览器验证以保护您的安全” “正在进行浏览器安全验证以确保您的安全”

上表中的元素在下面的屏幕截图中被标注出来,显示了每个钓鱼门户的 HTML 代码。HTML 文档标题标签用红色框突出显示,注释用橙色突出显示,旋转钥匙用黄色突出显示,脚本函数名称用绿色突出显示,可见的“安全”文本用蓝色突出显示。所有这些似乎都遵循相同的 HTML 生成模板,尽管注释和标题命名方案引用了不同的文本数组。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 12:Rockstar2FA 网络钓鱼页面的文档对象模型
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 13:旧 FlowerStorm 网络钓鱼页面的 DOM(自 2024 年 6 月起)
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 14:较新的 FlowerStorm 网络钓鱼页面的 DOM;生成标题和功能名称的算法使用了两个植物主题词的组合

虽然其他中间人网络钓鱼工具包也存在对 Cloudflare CDN 安全旋钮的滥用,但 FlowerStorm 和 Rockstar 网络钓鱼门户的结构至少表明它们具有共同的起源。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

凭证窃取

FlowerStorm 所采用的通信方法与之前的 Rockstar2FA 门户非常相似,仅在字段名称和响应方面略有不同:

公共字段

花风暴 Rockstar2FA 共通性
PHP 通信 Next.php <数字>.php 两者都与托管 PHP 文件的后端服务器进行通信。用于数据泄露和数据通信。
电子邮件验证 “做”:

“检查”电子邮件验证

“do”:“check” 进行电子邮件验证 两者都支持电子邮件验证作为基本功能。
登录事件 “do”:“login”用于身份验证 “do”:“le”用于身份验证 两者都方便登录操作。
密码 “pass”:包含 base64 编码的密码 “px”:包含明文密码 两者都将密码传达给后端服务器。
会话跟踪 用于会话跟踪的“token”。 “sec” 用于会话跟踪 两者都提供会话跟踪令牌。

域名注册和发现

这两个网络钓鱼工具包基础设施的域名注册模式和通过 URLScan 提交检测新页面的模式似乎遵循不同的模式,尤其是在比较域名活动和两者的识别时。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 15:截至 2024 年 11 月底 Rockstar2FA 和 FlowerStorm 每日页面检测情况图表

从 10 月 1 日到 11 月 11 日,FlowerStorm 和 Rockstar Decoy 页面检测和域名注册的高峰和低谷呈现出非常相似的趋势,通常同时上升和下降。这种行为可能表明这两项活动共享基础设施、运营目标重叠或时间协调。11
月 11 日之后,这两种模式出现分歧:

  •  花风暴开始出现更强劲的独立峰值,尤其是在 11 月 22 日至 26 日左右

  • Rockstar Decoy 页面活动在 11 月 11 日之后大幅减少,这与之前提到的停止运营一致。

花卉风暴目标

FlowerStorm 的总体性质是付费钓鱼服务,这意味着 FlowerStorm 的运营商无法选择谁成为钓鱼攻击的目标。这是客户的决定。但分析参与者进入系统后会做什么对防御者来说很有用。

根据我们对 FlowerStorm 的检测信息,FlowerStorm 用户选择的绝大多数目标 (84%) 位于美国、加拿大、英国、澳大利亚和意大利。美国组织是最常被攻击的目标,超过 60% 的案例与主要位于美国境内的组织有关。加拿大是下一个最受攻击的国家,仅占 8.96%。总体而言,Sophos 检测到的 FlowerStorm 网络钓鱼攻击的 94% 目标是北美和欧洲组织的员工。除这些地区外,新加坡、印度、以色列、新西兰和阿拉伯联合酋长国占剩余 5% 的目标。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 16:根据 Sophos 检测结果,攻击者利用 FlowerStorm 最常攻击的 10 个国家
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
图 17:攻击者利用 FlowerStorm 最常攻击的十大商业领域

最受打击的行业是服务业,尤其针对工程、建筑、房地产、法律服务和咨询公司。

全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场
全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场

结论

我们无法高度自信地将 Rockstar2FA 与 FlowerStorm 联系起来,只能指出,由于部署的工具包内容相似,这些工具包至少反映了共同的起源。相似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协同工作,尽管这些匹配模式也可能更多地由市场力量而非平台本身推动。11 月 11 日之后的活动分歧可能反映了:

  • 其中一个集团的战略支点

  • 人员变动影响运营

  • 共享基础设施的中断

  • 刻意分离操作以避免被发现

此外,FlowerStorm 的快速发展也导致其运营中出现一些错误和配置错误,这也使其很容易受到干扰。这些错误也为我们提供了一个机会,让我们可以更仔细地检查其后端运营——我们将继续这样做。

Sophos X-Ops 的 Github 存储库中提供了与 FlowerStorm 相关的攻击指标列表。

原文始发于微信公众号(OSINT研习社):全球最大钓鱼平台 Rockstar 2FA 失败,“FlowerStorm”新帝登场

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月20日15:53:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   全球最大钓鱼平台 Rockstar 2FA 失败,FlowerStorm新帝登场https://cn-sec.com/archives/3532877.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息