名為“FlowerStorm”的新 Microsoft 365 網絡釣魚即服務平臺填補了 Rockstar2FA 網絡犯罪服務突然關閉所留下的空白。

Trustwave 于 2024 年 11 月下旬首次記錄，Rockstar2FA 作為 PhaaS 平臺運行，促進針對 Microsoft 365 憑據的大規模中間對手 (AiTM) 攻擊。該服務提供先進的規避機制、用戶友好的面板和眾多網絡釣魚選項，以每兩周 200 美元的價格向網絡犯罪分子出售訪問權限。

Sophos 研究人員表示，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基礎設施崩潰，導致該服務的許多頁面無法訪問，但這似乎不是針對網絡犯罪平臺的執法行動的結果，而是技術故障。幾周后，FlowerStorm 首次出現在網上，并迅速獲得關注。

Rockstar2FA 檢測

Rockstar2FA 會重塑品牌嗎

1.這兩個平臺都使用模仿合法登錄頁面（例如 Microsoft）的網絡釣魚門戶來獲取憑據和 MFA 令牌，依賴于 .ru 和 .com 等域上托管的后端服務器。Rockstar2FA 使用隨機 PHP 腳本，而 FlowerStorm 使用 next.php 進行標準化。

2.他們的釣魚頁面的 HTML 結構非常相似，具有評論中的隨機文本、Cloudflare“十字轉門”安全功能以及“初始化瀏覽器安全協議”等提示。Rockstar2FA 使用汽車主題，而 FlowerStorm 則轉向植物主題，但底層設計保持一致。

3.憑據收集方法緊密結合，使用電子郵件、通行證和會話跟蹤令牌等字段。這兩個平臺都通過其后端系統支持電子郵件驗證和 MFA 身份驗證。

4.域名注冊和托管模式顯著重疊，大量使用 .ru 和 .com 域名以及 Cloudflare 服務。到 2024 年底，它們的活動模式顯示出同步上升和下降，表明出潛在的協調。

5.這兩個平臺都出現了操作錯誤，暴露了后端系統并表現出了高可擴展性。Rockstar2FA 管理著 2000 多個域名，而 FlowerStorm 在 Rockstar2FA 崩潰后迅速擴張，這是一個共享框架。

活動模式

Sophos 總結道：“我們不能將 Rockstar2FA 和 FlowerStorm 聯系起來，除非注意到由于部署的套件內容相似，這些套件至少反映了共同的系統。”

類似的域名注冊模式可能反映了 FlowerStorm 和 Rockstar 的協調工作，盡管這些匹配模式也有可能更多地是由市場力量而非平臺本身驅動。

新的危險出現

無論 FlowerStorm 突然崛起背后的原因是什么，對于用戶和企業來說，它是破壞性網絡釣魚攻擊的又一推動因素，可能導致全面的網絡攻擊。Sophos 的遙測顯示，FlowerStorm 所針對的大約 63% 的組織和 84% 的用戶位于美國。

FlowerStorm 目標

最受攻擊的行業是服務業（33%）、制造業（21%）、零售業（12%）和金融服務業（8%）。為了防范網絡釣魚攻擊，請使用具有 AiTM 抵抗 FIDO2 令牌的多重身份驗證 (MFA)、部署電子郵件過濾解決方案，并使用 DNS 過濾來阻止對可疑域（如 .ru、.moscow 和 .dev）的訪問。

參考及來源：https://www.bleepingcomputer.com/news/security/new-flowerstorm-microsoft-phishing-service-fills-void-left-by-rockstar2fa/