Microsoft 365 kullanıcılarını hedef alan “FlowerStorm” adlı yeni bir hizmet olarak kimlik avı (PaaS) platformu ortaya çıktı. Bu platform, selefi Rockstar2FA’nın Kasım 2024’teki beklenmedik kesintisinin ardından hızla ilgi topladı.
DadSec kimlik avı kitinin güncellenmiş bir versiyonu olan Rockstar2FA, 11 Kasım 2024’te kısmi bir altyapı çökmesi yaşadı.
Sophos araştırmacıları Sean Gallagher ve Mark Parsons, hizmetin birçok sayfasının muhtemelen kanuni yaptırımlardan ziyade teknik arızalar nedeniyle erişilemez hale geldiğini belirtti.
İlk olarak Haziran 2024’te ortaya çıkan FlowerStorm, Rockstar2FA’nın bıraktığı boşluğu hızla doldurdu. Yeni platform, gelişmiş kaçınma mekanizmaları, kullanıcı dostu bir panel ve çeşitli kimlik avı seçenekleri dahil olmak üzere selefiyle birçok özelliği paylaşıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Rockstar2FA gibi FlowerStorm da, çok faktörlü kimlik doğrulama korumalarını etkili bir şekilde atlayarak kullanıcı kimlik bilgilerini ve oturum çerezlerini ele geçirmek için ortadaki rakip (AiTM) tekniklerini kullanır. Platform, kimlik bilgilerini ve MFA belirteçlerini toplamak için meşru Microsoft oturum açma sayfalarını taklit eden kimlik avı portallarını kullanıyor.
Her iki platform da .ru ve .com alan adlarının ve Cloudflare hizmetlerinin yoğun kullanımıyla benzer alan adı kaydı ve barındırma modellerini kullanıyor. FlowerStorm, HTML sayfa başlıklarında “Çiçek”, “Filiz”, “Çiçek” ve “Yaprak” gibi bitkiyle ilgili terimlerin kullanılmasının da gösterdiği gibi, operasyonları için botanik bir tema benimsemiştir.
Sophos’un telemetrisi, FlowerStorm’un hedeflediği kuruluşların yaklaşık %63’ünün ve kullanıcıların %84’ünün ABD’de bulunduğunu ortaya koyuyor. En çok etkilenen sektörler arasında hizmetler (%33), imalat (%21), perakende (%12) ve finansal hizmetler (%8) yer alıyor.
Bu karmaşık kimlik avı saldırılarına karşı korunmak için uzmanlar, AiTM’ye dayanıklı FIDO2 belirteçleriyle çok faktörlü kimlik doğrulamanın kullanılmasını, e-posta filtreleme çözümlerinin dağıtılmasını ve şüpheli alanlara erişimi engellemek için DNS filtrelemesinin kullanılmasını öneriyor.
FlowerStorm’un hızlı yükselişi, hizmet olarak kimlik avı platformlarının oluşturduğu kalıcı tehdidin altını çiziyor. Siber suçlular taktiklerini geliştirmeye devam ettikçe kuruluşların ve bireylerin uyanık kalması ve Microsoft 365 hesaplarını ve hassas bilgilerini korumak için sağlam güvenlik önlemleri alması gerekiyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin