FlowerStorm Phishing

FlowerStorm “と呼ばれる新しいMicrosoft 365フィッシング・アズ・ア・サービス・プラットフォームが、サイバー犯罪サービス “Rockstar2FA “の突然のシャットダウンによって残された空白を埋める形で人気を集めている。

2024年11月下旬にTrustwaveによって初めて文書化されたRockstar2FAは、Microsoft 365認証情報を標的とした大規模な中間者攻撃(AiTM)を促進するPhaaSプラットフォームとして運用されていた。

このサービスは、高度な回避メカニズム、ユーザーフレンドリーなパネル、多数のフィッシングオプションを提供し、サイバー犯罪者に2週間あたり200ドルでアクセスを販売していました。

Sophosの研究者Sean GallagherとMark Parsonsによると、Rockstar2FAは2024年11月11日に部分的なインフラ崩壊に見舞われ、サービスの多くのページにアクセスできなくなりました。

Sophosによると、これはサイバー犯罪プラットフォームに対する法執行機関の行動の結果ではなく、むしろ技術的な障害であるようだ。

数週間後、2024年6月に初めてオンラインに登場したFlowerStormは、急速に支持を集め始めた。

Rockstar2FA detections
Rockstar2FA 検出数
Source:ソフォス

Rockstar2FAのリブランドの可能性?

ソフォスの調査によると、この新サービス FlowerStorm PhaaS は、以前 Rockstar2FA で見られた多くの機能を共有しているため、事業者が露出を減らすために新しい名前でリブランディングした可能性があります。

ソフォスは、Rockstar2FAとFlowerStormの間にいくつかの類似点があることを確認した:

  1. どちらのプラットフォームも、.ruや.comのようなドメインでホスティングされたバックエンドサーバーに依存し、認証情報とMFAトークンを採取するために、正規のログインページ(Microsoftなど)を模倣したフィッシングポータルを使用している。Rockstar2FAは無作為化されたPHPスクリプトを使用し、FlowerStormはnext.phpで標準化していた。
  2. 両者のフィッシング・ページのHTML構造は非常に類似しており、コメント内のランダムなテキスト、Cloudflareの “turnstile “セキュリティ機能、”Initializing browser security protocols “のようなプロンプトを特徴としている。Rockstar2FAは自動車のテーマを使用し、FlowerStormは植物のテーマにシフトしたが、基本的なデザインは一貫している。
  3. クレデンシャルの取得方法は、電子メール、パス、セッション追跡トークンなどのフィールドを使用し、密接に一致している。両プラットフォームとも、バックエンドシステムを通じて電子メール認証とMFA認証をサポートしている。
  4. ドメイン登録とホスティングのパターンは、.ruと.comドメインとCloudflareサービスを多用しており、大きく重複している。両者の活動パターンは2024年後半まで同期した上昇と下降を示し、潜在的な連携を示している。
  5. 2つのプラットフォームは、バックエンドシステムを公開する運用ミスを犯し、高いスケーラビリティを示した。Rockstar2FAは2,000以上のドメインを管理し、FlowerStormはRockstar2FAの崩壊後に急速に拡大したことから、フレームワークの共有が示唆された。
Pattern of activity
活動パターン
ソフォス

「我々は、Rockstar2FAとFlowerStormを高い信頼性で結びつけることはできないが、展開されたキットの内容が類似していることから、少なくともキットが共通の祖先を反映していることに留意する以外にない」とソフォスは結論付けている

「ドメイン登録のパターンが似ているのは、FlowerStormとRockstarが連携していることを反映している可能性もあるが、プラットフォームそのものよりも市場の力によってこれらの一致パターンが引き起こされた可能性もある。

新たな危険の台頭

FlowerStormが突然台頭してきた背景が何であれ、ユーザーや組織にとって、FlowerStormは、本格的なサイバー攻撃につながる可能性のある、有害なフィッシング攻撃を助長する新たな脅威である。

ソフォスの遠隔測定によると、FlowerStormの標的となっている組織の約63%、ユーザーの84%は米国に拠点を置いています。

FlowerStorm targets
FlowerStorm の標的
Source:ソフォス

最も標的とされているセクターは、サービス(33%)、製造業(21%)、小売業(12%)、金融サービス(8%)である。

フィッシング攻撃から身を守るには、AiTM耐性のあるFIDO2トークンを使用した多要素認証(MFA)を使用し、電子メールフィルタリングソリューションを導入し、DNSフィルタリングを使用して.ru、.moscow、.devなどの疑わしいドメインへのアクセスをブロックする。