Trustwave 于 2024 年 11 月下旬初度记实,Rockstar2FA 举动 PhaaS 平台运转,鼓励针对 Microsoft 365 证据的大周围中心敌手 (AiTM) 攻击。该办事供给先辈的规避机造、用户友情的面板和稠密搜集垂纶选项,以每两周 200 美元的价值向搜集违警分子出售拜访权限。
Sophos 探求职员吐露,Rockstar2FA 于 2024 年 11 月 11 日遭受部门根底措施溃散,导致该办事的很多页面无法拜访,但这如同不是针对搜集违警平台的法律活动的结果,而是本事障碍。几周后,FlowerStorm 初度涌现正在网上,并疾速得到体贴。
1.这两个平台都运用效法合法登录页面(比方 Microsoft)的搜集垂纶宗派来获取证据和 MFA 令牌,依赖于 .ru 和等域上托管的后端办事器。Rockstar2FA 运用随机 PHP 剧本,而 FlowerStorm 运用 next.php 实行程序化。
2.他们的垂纶页面的 HTML 构造极度肖似,拥有评论中的随机文本、Cloudflare“十字转门”安然性能以及“初始化浏览器安然允诺”等提示。Rockstar2FA 运用汽车大旨,而 FlowerStorm 则转向植物大旨,但底层计划连结类似。
3.证据征求设施精细纠合,运用电子邮件、通行证和会话跟踪令牌等字段。这两个平台都通过其后端体系赞成电子邮件验证和 MFA 身份验证。
4.域名注册和托管形式明显重叠,豪爽运用 .ru 和 域名以及 Cloudflare 办事。到 2024 岁晚,它们的行动形式显示出同步上升和降低,证据出潜正在的妥协。
5.这两个平台都涌现了操作舛讹,败露了后端体系并表示出了高可扩展性。Rockstar2FA 束缚着 2000 多个域名,而 FlowerStorm 正在 Rockstar2FA 溃散后疾速扩张,这是一个共享框架。
Sophos 总结道:“咱们不行将 Rockstar2FA 和 FlowerStorm 相合起来,除非戒备到因为安顿的套件实质肖似,这些套件起码响应了合伙的体系。”
形似的域名注册形式或者响应了 FlowerStorm 和 Rockstar 的妥协职业,即使这些成婚形式也有或者更多地是由墟市气力而非平台自己驱动。
无论 FlowerStorm 忽然振兴背后的原由是什么,看待用户和企业来说,它是捣蛋性搜集垂纶攻击的又一胀励成分,或者导致周密的搜集攻击。Sophos 的遥测显示,FlowerStorm 所针对的约莫 63% 的机合和 84% 的用户位于美国。
最受攻击的行业是办事业(33%)、创造业(21%)、零售业(12%)和金融办事业(8%)。为了防备搜集垂纶攻击,请使东西有 AiTM 拒抗 FIDO2 令牌的多重身份验证 (MFA)、安顿电子邮件过滤办理计划,并运用 DNS 过滤来阻难对可疑域(如 .ru、.moscow 和 .dev)的拜访。