Rockstar2FA, bulut/SaaS platformlarının meşru kimlik bilgisi isteği davranışını taklit eden bir PaaS kitidir. Kimlik avı kampanyaları Telegram aracılığıyla gerçekleştirilir ve kullanıcıları kimlik bilgilerinin ele geçirildiği sahte giriş sayfalarına yönlendirmek için benzersiz URL’ler kullanır.
Bu sayfalar, popüler hizmetler gibi görünüyor ve düşman tarafından kontrol edilen arka uç sunucularına HTTP POST istekleri aracılığıyla çok faktörlü kimlik doğrulama belirteçlerinin yanı sıra oturum açma kimlik bilgilerini de çalıyor.
Kimlik avı sayfalarının çoğu .com, .de, .ru ve .moscow’da kayıtlı alan adlarını kullanırken, küçük bir kısmı, çalınan verileri sızdırmak için ayrı arka uç sunucularına dayanan, manuel olarak oluşturulan alt alan adlarıyla dağıtım için Cloudflare Sayfalarından yararlanır.
Rockstar2FA kimlik avı kiti, 11 Kasım’da bir Cloudflare 522 hatası nedeniyle sahte sayfaların yönlendirilemediği bir kesinti yaşadı.
Portal sayfaları da arızalandı ve sahte Microsoft oturum açma portalını yükleyemedi; bu, arka uç sunucuyla bağlantının kesildiğini gösteriyordu.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Aynı sıralarda, PaaS platformu olan ve Haziran 2024’ten beri aktif olan FlowerStorm kimlik avı etkinliği de arttı. FlowerStorm kimlik avı sayfaları, next.php dosyasını kullanarak arka uç sunucusuyla iletişim kurar.
İletişim, kullanıcı kimlik bilgilerini ve oturum takibi için bir JWT belirtecini içerirken, arka uç sunucusu başarı mesajları veya MFA sorgulamalarıyla yanıt verebilir.
Bazı kimlik avı sayfaları, açılış sayfasıyla aynı etki alanında bulunan bir next.php dosyasıyla iletişim kurarken, diğerleri aynı yapıyı kullanmaz.
FlowerStorm ve Rockstar2FA kimlik avı portalları, geliştiricileri arasında potansiyel bir bağlantı olduğunu düşündüren güçlü benzerlikler sergiliyor. Her ikisi de Cloudflare turnike anahtarlarını ve yorumlarda rastgele metinleri içeren benzer HTML yapılarını kullanır.
PHP’ye dayalı veri filtreleme ve e-posta doğrulama ve oturum açma etkinlikleri için belirli alan adları gibi bazı özellikler, arka uç iletişim yöntemleri arasında paylaşılır.
Çoğu durumda alan adı kayıtlarının ve sayfa tespitlerinin zamanlaması çakışıyor, bu da ortak bir altyapı kullandıklarını veya operasyonlarının koordineli olduğunu gösteriyor olabilir.
FlowerStorm, PHP tabanlı iletişim ve e-posta doğrulama özellikleri de dahil olmak üzere önceki Rockstar2FA operasyonuna benzer altyapı ve iletişim yöntemlerinden yararlanan ücretli bir kimlik avı hizmetidir.
Hizmet sektörüne odaklanarak öncelikle ABD, Kanada ve diğer Batı ülkelerindeki kuruluşları hedef alıyor ve saldırıların çoğunluğunu ABD’nin oluşturduğu Kuzey Amerika ve Avrupa hedeflerini tercih ettiğini ortaya koyuyor.
Rockstar2FA ve FlowerStorm’un Sophos analizi, benzer kit içerikleri ve alan adı kayıt modelleri nedeniyle olası bir ortak kökene işaret ediyor.
11 Kasım sonrasındaki farklılaşan faaliyetler, potansiyel bir stratejik değişime, personel değişikliklerine, altyapı kesintisine veya tespitten kaçınmak için kasıtlı ayrıştırmaya işaret ediyor.
FlowerStorm’un hızlı genişlemesi, kesintiye neden olan ve arka uç altyapılarına ilişkin öngörüler sağlayan operasyonel hatalarla sonuçlandı.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri