专栏名称: 嘶吼专业版
为您带来每日最新最专业的互联网安全专业信息。
目录
相关文章推荐
吾爱破解论坛  ·  【2025春节】解题领红包活动 ... ·  2 天前  
海西晨报  ·  阿里、百度官宣!多个平台集中上线 ·  3 天前  
海西晨报  ·  阿里、百度官宣!多个平台集中上线 ·  3 天前  
人工智能产业链union  ·  “人工智能产业链联盟投融圈”仅限靠谱投资人& ... ·  3 天前  
苏州园区公安微警务  ·  守护 · 万家灯火 ·  4 天前  
苏州园区公安微警务  ·  守护 · 万家灯火 ·  4 天前  
51好读  ›  专栏  ›  嘶吼专业版

新的 FlowerStorm 微软网络钓鱼服务填补了 Rockstar2FA 留下的空白

嘶吼专业版  · 公众号  · 互联网安全  · 2025-01-08 14:00

正文

名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。

Trustwave 于 2024 年 11 月下旬首次记录,Rockstar2FA 作为 PhaaS 平台运行,促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项,以每两周 200 美元的价格向网络犯罪分子出售访问权限。

Sophos 研究人员表示,Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃,导致该服务的许多页面无法访问,但这似乎不是针对网络犯罪平台的执法行动的结果,而是技术故障。几周后,FlowerStorm 首次出现在网上,并迅速获得关注。

Rockstar2FA 检测

Rockstar2FA 会重塑品牌吗

1.这两个平台都使用模仿合法登录页面(例如 Microsoft)的网络钓鱼门户来获取凭据和 MFA 令牌,依赖于 .ru 和 .com 等域上托管的后端服务器。Rockstar2FA 使用随机 PHP 脚本,而 FlowerStorm 使用 next.php 进行标准化。

2.他们的钓鱼页面的 HTML 结构非常相似,具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。Rockstar2FA 使用汽车主题,而 FlowerStorm 则转向植物主题,但底层设计保持一致。

3.凭据收集方法紧密结合,使用电子邮件、通行证和会话跟踪令牌等字段。这两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。

4.域名注册和托管模式显著重叠,大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底,它们的活动模式显示出同步上升和下降,表明出潜在的协调。

5.这两个平台都出现了操作错误,暴露了后端系统并表现出了高可扩展性。Rockstar2FA 管理着 2000 多个域名,而 FlowerStorm 在 Rockstar2FA 崩溃后迅速扩张,这是一个共享框架。

活动模式

Sophos 总结道:“我们不能将 Rockstar2FA 和 FlowerStorm 联系起来,除非注意到由于部署的套件内容相似,这些套件至少反映了共同的系统。”

类似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协调工作,尽管这些匹配模式也有可能更多地是由市场力量而非平台本身驱动。

新的危险出现

无论 FlowerStorm 突然崛起背后的原因是什么,对于用户和企业来说,它是破坏性网络钓鱼攻击的又一推动因素,可能导致全面的网络攻击。Sophos 的遥测显示,FlowerStorm 所针对的大约 63% 的组织和 84% 的用户位于美国。

FlowerStorm







请到「今天看啥」查看全文