新的 FlowerStorm 微软网络钓鱼服务填补了 Rockstar2FA 留下的空白 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

新的 FlowerStorm 微软网络钓鱼服务填补了 Rockstar2FA 留下的空白

胡金鱼 新闻 2025-01-08 12:00:00
45477
收藏

导语:无论 FlowerStorm 突然崛起背后的原因是什么,对于用户和企业来说,它是破坏性网络钓鱼攻击的又一推动因素,可能导致全面的网络攻击。

名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。

Trustwave 于 2024 年 11 月下旬首次记录,Rockstar2FA 作为 PhaaS 平台运行,促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项,以每两周 200 美元的价格向网络犯罪分子出售访问权限。

Sophos 研究人员表示,Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃,导致该服务的许多页面无法访问,但这似乎不是针对网络犯罪平台的执法行动的结果,而是技术故障。几周后,FlowerStorm 首次出现在网上,并迅速获得关注。

rockstar.webp.png

Rockstar2FA 检测

Rockstar2FA 会重塑品牌吗

1.这两个平台都使用模仿合法登录页面(例如 Microsoft)的网络钓鱼门户来获取凭据和 MFA 令牌,依赖于 .ru 和 .com 等域上托管的后端服务器。 Rockstar2FA 使用随机 PHP 脚本,而 FlowerStorm 使用 next.php 进行标准化。

2.他们的钓鱼页面的 HTML 结构非常相似,具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。 Rockstar2FA 使用汽车主题,而 FlowerStorm 则转向植物主题,但底层设计保持一致。

3.凭据收集方法紧密结合,使用电子邮件、通行证和会话跟踪令牌等字段。这两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。

4.域名注册和托管模式显著重叠,大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底,它们的活动模式显示出同步上升和下降,表明出潜在的协调。

5.这两个平台都出现了操作错误,暴露了后端系统并表现出了高可扩展性。 Rockstar2FA 管理着 2000 多个域名,而 FlowerStorm 在 Rockstar2FA 崩溃后迅速扩张,这是一个共享框架。

patterns.webp.png

活动模式

Sophos 总结道:“我们不能将 Rockstar2FA 和 FlowerStorm 联系起来,除非注意到由于部署的套件内容相似,这些套件至少反映了共同的系统。” 

类似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协调工作,尽管这些匹配模式也有可能更多地是由市场力量而非平台本身驱动。

新的危险出现

无论 FlowerStorm 突然崛起背后的原因是什么,对于用户和企业来说,它是破坏性网络钓鱼攻击的又一推动因素,可能导致全面的网络攻击。 Sophos 的遥测显示,FlowerStorm 所针对的大约 63% 的组织和 84% 的用户位于美国。

targets.webp.png

FlowerStorm 目标

最受攻击的行业是服务业(33%)、制造业(21%)、零售业(12%)和金融服务业(8%)。为了防范网络钓鱼攻击,请使用具有 AiTM 抵抗 FIDO2 令牌的多重身份验证 (MFA)、部署电子邮件过滤解决方案,并使用 DNS 过滤来阻止对可疑域(如 .ru、.moscow 和 .dev)的访问。

文章翻译自:https://www.bleepingcomputer.com/news/security/new-flowerstorm-microsoft-phishing-service-fills-void-left-by-rockstar2fa/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务