一种名为“FlowerStorm”的新型 Microsoft 365 网络钓鱼即服务平台越来越受欢迎,填补了 Rockstar2FA 网络犯罪服务突然关闭留下的空白。
Rockstar2FA于 2024 年 11 月下旬首次由 Trustwave 记录,它作为 PhaaS 平台运行,为针对 Microsoft 365 凭据的大规模中间人 (AiTM) 攻击提供便利。
该服务提供先进的逃避机制、用户友好的面板和众多网络钓鱼选项,以每两周 200 美元的价格向网络犯罪分子出售访问权限。
据 Sophos 研究人员 Sean Gallagher 和 Mark Parsons 称,Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃,导致该服务的许多页面无法访问。
Sophos 表示,这似乎不是执法部门针对网络犯罪平台采取的行动所致,而是技术故障。
几周后,于 2024 年 6 月首次上线的 FlowerStorm 开始迅速受到关注。
来源:Sophos
Rockstar2FA 有可能重新打造品牌吗?
Sophos 发现,新服务 FlowerStorm PhaaS 与 Rockstar2FA 中之前的许多功能相同,因此运营商有可能以新名称重新命名以降低曝光率。
Sophos 发现 Rockstar2FA 与 FlowerStorm 之间存在一些相似之处,表明它们具有共同的血统或操作重叠:
-
这两个平台都使用模仿合法登录页面(例如 Microsoft)的网络钓鱼门户来获取凭据和 MFA 令牌,并依赖于托管在 .ru 和 .com 等域名上的后端服务器。Rockstar2FA 使用随机 PHP 脚本,而 FlowerStorm 使用 next.php 进行标准化。
-
他们的钓鱼页面的 HTML 结构非常相似,评论中包含随机文本、Cloudflare“旋转门”安全功能以及“初始化浏览器安全协议”等提示。Rockstar2FA 使用汽车主题,而 FlowerStorm 则转向植物主题,但底层设计保持一致。
-
凭证收集方法非常相似,使用电子邮件、密码和会话跟踪令牌等字段。两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。
-
域名注册和托管模式存在很大重叠,大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底,它们的活动模式呈现出同步的上升和下降趋势,表明可能存在协调。
-
这两个平台都犯了操作错误,暴露了后端系统,并表现出了很高的可扩展性。Rockstar2FA 管理着 2,000 多个域名,而 FlowerStorm 在 Rockstar2FA 倒闭后迅速扩张,表明它们是一个共享框架。
来源:Sophos
Sophos 总结道:“我们无法高度自信地将 Rockstar2FA 与 FlowerStorm 联系起来,但我们只能指出,由于所部署工具包的内容相似,因此这些工具包至少反映了共同的祖先。”
“相似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协同合作,但这些匹配模式也可能更多地受到市场力量而非平台本身的驱动。”
新的危险出现
无论 FlowerStorm 突然崛起的背后有何故事,对于用户和组织而言,它都是破坏性网络钓鱼攻击的又一个推动因素,可能导致全面网络攻击。
Sophos 的遥测显示,FlowerStorm 所针对的组织中约 63% 和用户中约 84% 位于美国。
来源:Sophos
最受关注的行业是服务业(33%)、制造业(21%)、零售业(12%)和金融服务业(8%)。
为了防范网络钓鱼攻击,请使用具有抗 AiTM 的 FIDO2 令牌的多因素身份验证 (MFA),部署电子邮件过滤解决方案,并使用 DNS 过滤来阻止对 .ru、.moscow 和 .dev 等可疑域的访问。
原文始发于微信公众号(独眼情报):新的FlowerStorm 微软平台钓鱼服务,填补 Rockstar2FA 留下的空白
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论