Hizmet olarak kimlik avı (PhaaS) araç setinde bir kesinti Rock yıldızı 2FA adı verilen başka bir yeni teklifin faaliyetinde hızlı bir artışa yol açtı ÇiçekFırtına.
“Görünüşe göre [Rockstar2FA] Sophos geçen hafta yayınlanan yeni bir raporda, “Hizmeti çalıştıran grubun altyapısında en azından kısmi bir çöküş yaşandı ve hizmetle ilişkili sayfalara artık ulaşılamıyor” dedi. “Bunun bir yayından kaldırma eylemi nedeniyle olmadığı görülüyor, ancak bunun nedeni hizmetin arka ucundaki bazı teknik arızalara.”
Rockstar2FA, ilk olarak Trustwave tarafından geçen ayın sonlarında, suçlu aktörlerin Microsoft 365 hesap kimlik bilgilerini ve oturum çerezlerini toplayabilecek ve böylece çok faktörlü kimlik doğrulama (MFA) korumalarını atlatabilecek kimlik avı saldırıları başlatmasına olanak tanıyan bir PhaaS hizmeti olarak belgelendi.
Hizmetin, Microsoft tarafından Storm-1575 adı altında takip edilen DadSec kimlik avı kitinin güncellenmiş bir sürümü olduğu değerlendiriliyor. Kimlik avı sayfalarının çoğunluğunun .com, .de, .ru adreslerinde barındırıldığı tespit edildi. ve .moscow üst düzey alan adları, ancak .ru alan adlarının kullanımının zamanla azaldığına inanılıyor.
Rockstar2FA, 11 Kasım 2024’te ara tuzak sayfalara yapılan yönlendirmelerin Cloudflare zaman aşımı hataları oluşturması ve sahte giriş sayfalarının yüklenememesi nedeniyle teknik bir kesinti yaşamış gibi görünüyor.
Kesintiye neyin sebep olduğu açık olmasa da PhaaS araç kitinin bıraktığı boşluk, en az Haziran 2024’ten bu yana aktif olan FlowerStorm ile ilişkili kimlik avı aktivitesinde artışa neden oldu.
Sophos, kimlik avı portalı sayfalarının formatı ve kimlik bilgileri toplamak için arka uç sunuculara bağlanmak için kullanılan yöntemler açısından her iki hizmetin de benzerlikler taşıdığını ve bunun da ortak bir köken olasılığını artırdığını söyledi. Ayrıca gelen sayfa isteklerinin botlardan gelmediğinden emin olmak için Cloudflare Turnikesini de kötüye kullanıyorlar.
11 Kasım’daki aksamanın ya gruplardan birinde stratejik bir dönüm noktasını, onları yöneten personel değişikliğini ya da ikiz operasyonları ayırmaya yönelik kasıtlı bir çabayı temsil ettiğinden şüpheleniliyor. Bu aşamada iki hizmeti birbirine bağlayan kesin bir kanıt yoktur.
FlowerStorm’u kullanan en sık hedeflenen ülkeler arasında Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Avustralya, İtalya, İsviçre, Porto Riko, Almanya, Singapur ve Hindistan yer alıyor.
Sophos, “En yoğun hedeflenen sektör, özellikle mühendislik, inşaat, emlak, hukuk hizmetleri ve danışmanlık sağlayan firmalara odaklanan hizmet sektörüdür” dedi.
Bulgular, saldırganların çok fazla teknik uzmanlık gerektirmeden, geniş ölçekte siber saldırılar gerçekleştirmek için siber suç hizmetlerini ve ticari araçları kullanma eğilimini bir kez daha gösteriyor.