Rockstar2FA’nın Çöküşü, Hizmet Olarak FlowerStorm Kimlik Avının Genişlemesine Hız Veriyor


23 Aralık 2024Ravie LakshmananKimlik Avı / Siber Suç

FlowerStorm Hizmet Olarak Kimlik Avı

Hizmet olarak kimlik avı (PhaaS) araç setinde bir kesinti Rock yıldızı 2FA adı verilen başka bir yeni teklifin faaliyetinde hızlı bir artışa yol açtı ÇiçekFırtına.

“Görünüşe göre [Rockstar2FA] Sophos geçen hafta yayınlanan yeni bir raporda, “Hizmeti çalıştıran grubun altyapısında en azından kısmi bir çöküş yaşandı ve hizmetle ilişkili sayfalara artık ulaşılamıyor” dedi. “Bunun bir yayından kaldırma eylemi nedeniyle olmadığı görülüyor, ancak bunun nedeni hizmetin arka ucundaki bazı teknik arızalara.”

Rockstar2FA, ilk olarak Trustwave tarafından geçen ayın sonlarında, suçlu aktörlerin Microsoft 365 hesap kimlik bilgilerini ve oturum çerezlerini toplayabilecek ve böylece çok faktörlü kimlik doğrulama (MFA) korumalarını atlatabilecek kimlik avı saldırıları başlatmasına olanak tanıyan bir PhaaS hizmeti olarak belgelendi.

Siber güvenlik

Hizmetin, Microsoft tarafından Storm-1575 adı altında takip edilen DadSec kimlik avı kitinin güncellenmiş bir sürümü olduğu değerlendiriliyor. Kimlik avı sayfalarının çoğunluğunun .com, .de, .ru adreslerinde barındırıldığı tespit edildi. ve .moscow üst düzey alan adları, ancak .ru alan adlarının kullanımının zamanla azaldığına inanılıyor.

FlowerStorm Hizmet Olarak Kimlik Avı

Rockstar2FA, 11 Kasım 2024’te ara tuzak sayfalara yapılan yönlendirmelerin Cloudflare zaman aşımı hataları oluşturması ve sahte giriş sayfalarının yüklenememesi nedeniyle teknik bir kesinti yaşamış gibi görünüyor.

Kesintiye neyin sebep olduğu açık olmasa da PhaaS araç kitinin bıraktığı boşluk, en az Haziran 2024’ten bu yana aktif olan FlowerStorm ile ilişkili kimlik avı aktivitesinde artışa neden oldu.

FlowerStorm Hizmet Olarak Kimlik Avı

Sophos, kimlik avı portalı sayfalarının formatı ve kimlik bilgileri toplamak için arka uç sunuculara bağlanmak için kullanılan yöntemler açısından her iki hizmetin de benzerlikler taşıdığını ve bunun da ortak bir köken olasılığını artırdığını söyledi. Ayrıca gelen sayfa isteklerinin botlardan gelmediğinden emin olmak için Cloudflare Turnikesini de kötüye kullanıyorlar.

11 Kasım’daki aksamanın ya gruplardan birinde stratejik bir dönüm noktasını, onları yöneten personel değişikliğini ya da ikiz operasyonları ayırmaya yönelik kasıtlı bir çabayı temsil ettiğinden şüpheleniliyor. Bu aşamada iki hizmeti birbirine bağlayan kesin bir kanıt yoktur.

Siber güvenlik

FlowerStorm’u kullanan en sık hedeflenen ülkeler arasında Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Avustralya, İtalya, İsviçre, Porto Riko, Almanya, Singapur ve Hindistan yer alıyor.

Sophos, “En yoğun hedeflenen sektör, özellikle mühendislik, inşaat, emlak, hukuk hizmetleri ve danışmanlık sağlayan firmalara odaklanan hizmet sektörüdür” dedi.

Bulgular, saldırganların çok fazla teknik uzmanlık gerektirmeden, geniş ölçekte siber saldırılar gerçekleştirmek için siber suç hizmetlerini ve ticari araçları kullanma eğilimini bir kez daha gösteriyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link