互联网上最为猖獗的网络犯罪即服务行动之一最近遭遇挫折:11 月,Sophos MDR 注意到 Rockstar2FA“网络钓鱼即服务”(PaaS) 平台的检测突然消失了。
根据 Sophos MDR 收集的遥测数据,运行该服务的组织似乎经历了基础设施至少部分崩溃,与该服务相关的页面不再可访问。这似乎不是因为删除操作,而是由于服务后端的一些技术故障。
Rockstar2FA 是名为 DadSec 的网络钓鱼服务(之前与微软的 Storm-1575 威胁组织有关)的升级版本,该服务消失的两周前,TrustWave 发布了一份详细介绍网络钓鱼即服务操作的研究报告。网络钓鱼服务基础设施的元素现在已无法访问,返回 HTTP 522 响应 - 表明它们已与 Cloudflare 内容交付网络断开连接。与该服务的命令和控制相关的 Telegram 频道似乎也已下线。
在 Rockstar2FA 被破坏后的几周内,我们观察到一组类似的 PaaS 门户的使用量激增,一些研究人员将这些门户标记为“FlowerStorm”——这个名字源于许多钓鱼页面本身的 HTML 页面标题中使用与植物相关的术语(例如“花”、“芽”、“开花”和“叶”)。FlowerStorm 与 Rockstar 和另一个由 Telegram 机器人驱动的 PaaS 平台 Tycoon 有许多共同的功能。
你想成为钓鱼大哥吗?
Rockstar2FA 是一个(或许曾经是)PaaS 套件,它模仿了常用云和软件即服务平台的合法凭证请求行为。潜在的网络犯罪分子通过 Telegram 购买和控制网络钓鱼活动,并获得一个独特的网络钓鱼页面和 URL 以用于他们的活动。通过传递给目标的链接进行的访问会传递网络钓鱼;访问网站本身的域会被路由到“诱饵”页面。Rockstar 的诱饵页面通常以汽车为主题。
访问该 URL 的访问者将被引导至一个伪造的 Microsoft 登录页面。该页面会捕获凭据和多因素身份验证令牌,并通过 HTTP POST 消息将其发送到攻击者控制的“后端服务器”页面 — 一个 PHP 页面,其名称看似是一个随机数字(如图 2 所示)。这些后端服务器主要位于 .ru、.de 和 .moscow 注册域上。诱饵页面通常与后端服务器托管在同一台主机上。
大多数钓鱼页面都位于 .com、.de、.ru 和 .moscow 顶级域名上。Rockstar2FA 服务在任何给定时间都使用这些和其他顶级域名中的大约 2,000 个域名。
然而,从 2024 年 6 月开始,其中一些页面使用了Cloudflare Pages 无服务器部署(使用域 pages[.]dev),以及作为 Cloudflare 工作程序部署的代码(在域 worker[.]dev),同时仍然依赖后端服务器来窃取网络钓鱼数据。这些网络钓鱼页面使用的子域名似乎不是使用域生成算法 (DGA) 创建的,相反,它们似乎是由该工具包的操作员手动输入的。有些是为了模拟特定的目标域而制作的(例如 4344655-proofpoint-online-secure.pages[.]dev)。但其他一些类似于键盘垃圾邮件:
-
当你创建任何相同的域时,域使用将变成lite.pages[.]dev
-
pppaaaaulhaaaammmlinnnnbuiiildddeeeerrsssssnzzzzzozzzz.pages[.]dev
这些域名仅占与 Rockstar 相关的整体 URL 的一小部分,并且通常与网络钓鱼门户本身相关。
技术困难
11 月 11 日,Rockstar2FA 的基础设施突然中断。重定向到诱饵页面失败,导致 Cloudflare 出现 522 错误,表明提供该页面的服务器不再与 Cloudflare 通信。
图 5. 与诱饵页面域名的连接失败
此外,门户页面开始出现故障。之前,单击 Cloudflare“我是人类”测试会导致加载伪造的 Microsoft 登录门户,而现在加载的只是动画 Outlook 徽标。门户页面的其余脚本失败,因为与后端服务器的连接(通过 POST 请求)已断开。
pages[.]dev 托管的门户页面也存在同样的问题,它们在尝试连接到后端 URL 时也会挂起。自 11 月以来,我们不断看到在 pages[.]dev 子域上设置的新钓鱼门户页面,但它们都无法连接到后端服务器。
这表明运营商仍在努力让其基础设施恢复正常。这可能是由于网络托管问题或困扰 Rockstar2FA 运营商的其他技术问题。用于运行该服务的 Telegram 机器人似乎也已关闭,这表明运营受到了某种更大规模的干扰。
冉冉升起的摇滚明星(?):FlowerStorm
在 Rockstar 中断后大约一周半的时间里,我们看到 FlowerStorm 的活动激增,尽管我们还发现其中许多网站也受到了干扰。FlowerStorm PaaS 平台至少从 2024 年 6 月起就一直处于活跃状态。
通过查看 FlowerStorm 样本的行为,我们发现门户使用相同的 URL 向目标发送身份验证请求,就像向“后端门户”发送通信请求一样 - 在本例中,是向使用文件“next.php”的后端服务器发送请求。
在这种情况下,根据 EntraID 登录日志,用于获取凭证的相同 IP 地址也用于对用户帐户进行身份验证。
钓鱼页面与后端服务器 PHP 文件的通信利用了以下预期字段和通信:
字段描述和预期值
| 场地/赛事 | 描述 | 值/示例 |
| 做 | 指定所请求的操作。 | “check” – 用于检查操作 “login” – 用于登录事件 |
| 检查验证 | 服务器定期检查身份验证方法的状态。 | – 执行:“checkVerify”- 令牌:<token>- 用户:<email>- 服务:“notif”- 密钥:<base64_encoded_password> |
| 电子邮件 | 用户的电子邮件地址。 | <电子邮件> |
| 经过 | 用户的密码,在“登录”时需要输入。 | base64编码的密码 |
| 令牌 | 包含会话信息的 JWT。 | <JWT_Token> |
预期反应和解释
| 行动 | 回复 | 描述 |
| 查看 | { “状态”:“成功”, “横幅”:空,“背景”:空,“federationLogin”:“”, “类型”:“办公室” } | 表明电子邮件有效并发出令牌。 |
| 登录 | { “status”:“验证”, “message”:“请验证您的帐户”, “method”:“<base64 编码的方法响应>”, “token”:“<JWT_Token>”, “key”:“<base64_encoded_password>”, “user”:“<email>” } | 提示使用相同的 JWT 进行 MFA 会话跟踪。 |
| 方法 | { “status”: true, “data”: “<base64 编码的会话数据>”, “number”: 59 } | 发布用于 MFA 的特定会话数据。 |
| 方法(数据解码) | [{ “authMethodId”:“PhoneAppNotification”, “数据”:“PhoneAppNotification”, “isDefault”:true},{ “authMethodId”:“PhoneAppOTP”, “数据”:“PhoneAppOTP”, “phoneAppOtpTypes”:[“MicrosoftAuthenticatorBasedTOTP”]} ] | 详细说明用户可用的多因素身份验证方法。 |
| 检查验证(失败) | { “status”: false, “message”: “验证失败”, “token”: “<JWT_Token>” } | 服务器开始检查 MFA 是否接受。 |
| 检查验证(成功) | { “<string_with_session_cookies>” } | MFA 已被接受,响应包含用于身份验证的会话 cookie。 |
并非所有钓鱼页面都使用相同的后端服务器结构。一些门户网站将使用与钓鱼登录页面托管在同一域上的 next.php。EntraID 身份验证日志中的 IP 地址对于这些门户网站来说并不相同。例如,在以下情况下,钓鱼页面 protectionwearsupplies[.]doclawfederal[.]com/wQBPg/ 将其 post 请求发送到具有相同域名的不同主机:
Rockstar2FA/ FlowerStorm 相似之处
FlowerStorm 与 Rockstar2FA 有很多相似之处,无论是其钓鱼门户页面的格式还是与后端服务器的连接。
文档对象模型
FlowerStorm 门户页面的 HTML 在过去六个月中发生了变化,但仍保留了与 Rockstar 页面类似的文档对象模型 (DOM) 内容。旧版和新版 FlowerStorm 钓鱼页面的 HTML 页面(如 Rockstar2FA 的页面)在 HTML 注释中包含随机、不相关的文本字符串,使用 Cloudflare“旋转门”键提示检查传入的页面请求,并具有其他类似的结构和内容,如下所示:
| 新花风暴 | 旧版 Rockstar2FA | 老花风暴 | |
| 标题 | 牛至叶 | 与众不同 | 接骨木 |
| 旋转闸门 Sitekey | 0x4AAAAAAA0_fAGSk-ZDbrja | 0x4AAAAAAhiG1SBeMjCx4fG | 0x4AAAAAAceMeRudDiJWXJJ |
| 表单提交脚本 | 茴香花 | 瑙蒂利 | 勇敢 |
| 评论主题 | 文学/学术 | 汽车、健身、水果 | 汽车、生活方式、水果 |
| 可见安全文本 | “初始化浏览器安全协议” | “正在运行浏览器验证以保护您的安全” | “正在进行浏览器安全验证以确保您的安全” |
上表中的元素在下面的屏幕截图中被标注出来,显示了每个钓鱼门户的 HTML 代码。HTML 文档标题标签用红色框突出显示,注释用橙色突出显示,旋转钥匙用黄色突出显示,脚本函数名称用绿色突出显示,可见的“安全”文本用蓝色突出显示。所有这些似乎都遵循相同的 HTML 生成模板,尽管注释和标题命名方案引用了不同的文本数组。
虽然其他中间人网络钓鱼工具包也存在对 Cloudflare CDN 安全旋钮的滥用,但 FlowerStorm 和 Rockstar 网络钓鱼门户的结构至少表明它们具有共同的起源。
凭证窃取
FlowerStorm 所采用的通信方法与之前的 Rockstar2FA 门户非常相似,仅在字段名称和响应方面略有不同:
公共字段
| 花风暴 | Rockstar2FA | 共通性 | |
| PHP 通信 | Next.php | <数字>.php | 两者都与托管 PHP 文件的后端服务器进行通信。用于数据泄露和数据通信。 |
| 电子邮件验证 | “做”:
“检查”电子邮件验证 |
“do”:“check” 进行电子邮件验证 | 两者都支持电子邮件验证作为基本功能。 |
| 登录事件 | “do”:“login”用于身份验证 | “do”:“le”用于身份验证 | 两者都方便登录操作。 |
| 密码 | “pass”:包含 base64 编码的密码 | “px”:包含明文密码 | 两者都将密码传达给后端服务器。 |
| 会话跟踪 | 用于会话跟踪的“token”。 | “sec” 用于会话跟踪 | 两者都提供会话跟踪令牌。 |
域名注册和发现
这两个网络钓鱼工具包基础设施的域名注册模式和通过 URLScan 提交检测新页面的模式似乎遵循不同的模式,尤其是在比较域名活动和两者的识别时。
从 10 月 1 日到 11 月 11 日,FlowerStorm 和 Rockstar Decoy 页面检测和域名注册的高峰和低谷呈现出非常相似的趋势,通常同时上升和下降。这种行为可能表明这两项活动共享基础设施、运营目标重叠或时间协调。11
月 11 日之后,这两种模式出现分歧:
-
花风暴开始出现更强劲的独立峰值,尤其是在 11 月 22 日至 26 日左右
-
Rockstar Decoy 页面活动在 11 月 11 日之后大幅减少,这与之前提到的停止运营一致。
花卉风暴目标
FlowerStorm 的总体性质是付费钓鱼服务,这意味着 FlowerStorm 的运营商无法选择谁成为钓鱼攻击的目标。这是客户的决定。但分析参与者进入系统后会做什么对防御者来说很有用。
根据我们对 FlowerStorm 的检测信息,FlowerStorm 用户选择的绝大多数目标 (84%) 位于美国、加拿大、英国、澳大利亚和意大利。美国组织是最常被攻击的目标,超过 60% 的案例与主要位于美国境内的组织有关。加拿大是下一个最受攻击的国家,仅占 8.96%。总体而言,Sophos 检测到的 FlowerStorm 网络钓鱼攻击的 94% 目标是北美和欧洲组织的员工。除这些地区外,新加坡、印度、以色列、新西兰和阿拉伯联合酋长国占剩余 5% 的目标。
最受打击的行业是服务业,尤其针对工程、建筑、房地产、法律服务和咨询公司。
结论
我们无法高度自信地将 Rockstar2FA 与 FlowerStorm 联系起来,只能指出,由于部署的工具包内容相似,这些工具包至少反映了共同的起源。相似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协同工作,尽管这些匹配模式也可能更多地由市场力量而非平台本身推动。11 月 11 日之后的活动分歧可能反映了:
-
其中一个集团的战略支点
-
人员变动影响运营
-
共享基础设施的中断
-
刻意分离操作以避免被发现
此外,FlowerStorm 的快速发展也导致其运营中出现一些错误和配置错误,这也使其很容易受到干扰。这些错误也为我们提供了一个机会,让我们可以更仔细地检查其后端运营——我们将继续这样做。
Sophos X-Ops 的 Github 存储库中提供了与 FlowerStorm 相关的攻击指标列表。
原文始发于微信公众号(OSINT研习社):全球最大钓鱼平台 Rockstar 2FA 失败,“FlowerStorm”新帝登场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论