针对 Microsoft 365 的新型网络钓鱼即服务平台FlowerStorm在犯罪分子中流行

一种名为“FlowerStorm”的新型 Microsoft 365 网络钓鱼即服务平台越来越受欢迎，填补了 Rockstar2FA 网络犯罪服务突然关闭留下的空白。

Rockstar2FA于 2024 年 11 月下旬首次由 Trustwave 记录，它作为 PhaaS 平台运行，为针对 Microsoft 365 凭据的大规模中间人 (AiTM) 攻击提供便利。

该服务提供先进的逃避机制、用户友好的面板和众多网络钓鱼选项，以每两周 200 美元的价格向网络犯罪分子出售访问权限。

据 Sophos 研究人员 Sean Gallagher 和 Mark Parsons 称，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃，导致该服务的许多页面无法访问。

Sophos 表示，这似乎不是执法部门针对网络犯罪平台采取的行动所致，而是技术故障。

几周后，于 2024 年 6 月首次上线的 FlowerStorm 开始迅速受到关注。

Rockstar2FA有可能重新打造品牌吗？

Sophos 发现，新服务 FlowerStorm PhaaS 与 Rockstar2FA 中之前的许多功能相同，因此运营商有可能以新名称重新命名以降低曝光率。

Sophos 发现 Rockstar2FA 与 FlowerStorm 之间存在一些相似之处，表明它们具有共同的血统或操作重叠：

这两个平台都使用模仿合法登录页面（例如 Microsoft）的网络钓鱼门户来获取凭据和 MFA 令牌，并依赖于托管在 .ru 和 .com 等域名上的后端服务器。

Rockstar2FA 使用随机 PHP 脚本，而 FlowerStorm 使用 next.php 进行标准化。

他们的钓鱼页面的 HTML 结构非常相似，评论中包含随机文本、Cloudflare“旋转门”安全功能以及“初始化浏览器安全协议”等提示。

凭证收集方法非常相似，使用电子邮件、密码和会话跟踪令牌等字段。两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。

域名注册和托管模式存在很大重叠，大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底，它们的活动模式呈现出同步的上升和下降趋势，表明可能存在协调。

这两个平台都犯了操作失误，暴露了后端系统，并表现出了很高的可扩展性。Rockstar2FA 管理着 2,000 多个域名，而 FlowerStorm 在 Rockstar2FA 倒闭后迅速扩张，表明它们是一个共享框架。

Sophos 总结道：“我们无法高度自信地将 Rockstar2FA 与 FlowerStorm 联系起来，但我们只能指出，由于所部署工具包的内容相似，因此这些工具包至少反映了共同的祖先。 ”

“相似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协同合作，但这些匹配模式也可能更多地受到市场力量而非平台本身的驱动。”

无论 FlowerStorm 突然崛起的背后有何故事，对于用户和组织而言，它都是破坏性网络钓鱼攻击的又一个推动因素，可能导致全面网络攻击。

Sophos 的遥测显示，FlowerStorm 所针对的组织中约 63% 和用户中约 84% 位于美国。

最受关注的行业是服务业（33%）、制造业（21%）、零售业（12%）和金融服务业（8%）。

为了防范网络钓鱼攻击，请使用具有抗 AiTM 的 FIDO2 令牌的多因素身份验证 (MFA)，部署电子邮件过滤解决方案，并使用 DNS 过滤来阻止对 .ru、.moscow 和 .dev 等可疑域的访问。

技术报告：

https://news.sophos.com/en-us/2024/12/19/phishing-platform-rockstar-2fa-trips-and-flowerstorm-picks-up-the-pieces/

新闻链接：

https://www.bleepingcomputer.com/news/security/new-flowerstorm-microsoft-phishing-service-fills-void-left-by-rockstar2fa/

讲述普通人能听懂的安全故事