“FlowerStorm” adı verilen yeni bir Microsoft 365 hizmet olarak kimlik avı platformunun popülaritesi artıyor ve Rockstar2FA siber suç hizmetinin aniden kapatılmasının geride bıraktığı boşluğu dolduruyor.
İlk olarak Trustwave tarafından Kasım 2024’ün sonlarında belgelenen Rockstar2FA, Microsoft 365 kimlik bilgilerini hedef alan büyük ölçekli ortadaki rakip (AiTM) saldırılarını kolaylaştıran bir PhaaS platformu olarak çalışıyordu.
Hizmet, gelişmiş kaçırma mekanizmaları, kullanıcı dostu bir panel ve çok sayıda kimlik avı seçeneği sunarak siber suçlulara erişimi iki hafta başına 200 dolara satıyordu.
Sophos araştırmacıları Sean Gallagher ve Mark Parsons’a göre Rockstar2FA, 11 Kasım 2024’te kısmi bir altyapı çökmesi yaşadı ve bu da hizmetin birçok sayfasına erişilemez hale geldi.
Sophos, bunun kolluk kuvvetlerinin siber suç platformuna yönelik eyleminin sonucu olarak görünmediğini, aksine teknik bir arıza gibi göründüğünü söylüyor.
Birkaç hafta sonra, ilk kez Haziran 2024’te çevrimiçi olarak ortaya çıkan FlowerStorm hızla ilgi görmeye başladı.
Kaynak: Sophos
Rockstar2FA’nın olası bir yeniden markalaşması mı?
Sophos, yeni hizmet FlowerStorm PhaaS’ın daha önce Rockstar2FA’da görülen birçok özelliği paylaştığını, dolayısıyla operatörlerin maruz kalmayı azaltmak için yeni bir ad altında yeniden markalaşmalarının mümkün olduğunu keşfetti.
Sophos, Rockstar2FA ve FlowerStorm arasında çeşitli benzerlikler tespit ederek ortak bir kökene veya operasyonel örtüşmeye işaret ediyor:
- Her iki platform da, kimlik bilgilerini ve MFA belirteçlerini toplamak için .ru ve .com gibi alanlarda barındırılan arka uç sunuculara dayanarak meşru oturum açma sayfalarını (örneğin, Microsoft) taklit eden kimlik avı portalları kullanır. Rockstar2FA rastgele PHP komut dosyaları kullanırken FlowerStorm next.php ile standartlaştı.
- Kimlik avı sayfalarının HTML yapısı oldukça benzer; yorumlarda rastgele metinler, Cloudflare “turnike” güvenlik özellikleri ve “Tarayıcı güvenlik protokolleri başlatılıyor” gibi istemler içeriyor. Rockstar2FA otomotiv temalarını kullanırken FlowerStorm botanik temalara geçti ancak temel tasarım tutarlı kaldı.
- Kimlik bilgisi toplama yöntemleri, e-posta, geçiş ve oturum izleme belirteçleri gibi alanları kullanarak birbirine yakın şekilde hizalanır. Her iki platform da arka uç sistemleri aracılığıyla e-posta doğrulamayı ve MFA kimlik doğrulamasını destekler.
- Alan adı kaydı ve barındırma kalıpları, .ru ve .com alan adlarının ve Cloudflare hizmetlerinin yoğun kullanımı nedeniyle önemli ölçüde örtüşmektedir. Faaliyet kalıpları, 2024’ün sonlarına kadar senkronize artışlar ve düşüşler gösterdi, bu da potansiyel koordinasyona işaret ediyor.
- İki platform, arka uç sistemlerini açığa çıkaran ve yüksek ölçeklenebilirlik sergileyen operasyonel hatalar yaptı. Rockstar2FA 2.000’den fazla alan adını yönetirken FlowerStorm, Rockstar2FA’nın çöküşünden sonra hızla genişleyerek ortak bir çerçeve önerdi.
Kaynak: Sophos
Sophos şu sonuca varıyor: “Rockstar2FA ile FlowerStorm arasında yüksek bir güvenle bağlantı kuramayız, ancak konuşlandırılan kitlerin benzer içerikleri nedeniyle kitlerin en azından ortak bir atayı yansıttığını belirtmek isteriz.”
“Alan adı kaydındaki benzer modeller FlowerStorm ve Rockstar’ın koordinasyon içinde çalışmasının bir yansıması olabilir, ancak bu eşleştirme modellerinin platformların kendisinden ziyade piyasa güçleri tarafından yönlendirilmiş olması da mümkündür.”
Yeni bir tehlike doğuyor
FlowerStorm’un ani yükselişinin ardındaki hikaye ne olursa olsun, kullanıcılar ve kuruluşlar için bu, tam kapsamlı siber saldırılara yol açabilecek zararlı kimlik avı saldırılarının bir başka kolaylaştırıcısıdır.
Sophos’un telemetrisi, FlowerStorm’un hedeflediği kuruluşların yaklaşık %63’ünün ve kullanıcıların %84’ünün ABD’de bulunduğunu gösteriyor.
Kaynak: Sophos
En çok hedeflenen sektörler hizmetler (%33), imalat (%21), perakende (%12) ve finansal hizmetlerdir (%8).
Kimlik avı saldırılarına karşı korunmak için AiTM’ye dayanıklı FIDO2 belirteçleriyle çok faktörlü kimlik doğrulama (MFA) kullanın, e-posta filtreleme çözümleri dağıtın ve .ru, .moscow ve .dev gibi şüpheli alanlara erişimi engellemek için DNS filtrelemeyi kullanın.