IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Kolaps Rockstar2FA podporuje růst služby FlowerStorm

Přerušení phishing-as-a-service (PhaaS) nástroje s názvem Rockstar 2FA vedlo k rychlému nárůstu aktivity jiného nového nástroje nazvaného FlowerStorm. „Zdá se, že skupina Rockstar2FA, která provozuje tuto službu, zažila alespoň částečný kolaps své infrastruktury, přičemž stránky spojené s touto službou již nejsou dostupné,“ uvedla společnost Sophos v nové zprávě zveřejněné minulý týden. „Nezdá se, že by šlo o zásah proti této službě, ale spíše o technické selhání na pozadí služby.“ Rockstar2FA byl poprvé zdokumentován společností Trustwave koncem listopadu 2024 jako PhaaS služba, která umožňuje hackerům spouštět phishingové útoky schopné získávat přihlašovací údaje k účtům Microsoft 365 a session cookies, čímž obchází ochranu vícefaktorového ověřování (MFA). Služba je považována za aktualizovanou verzi phishingového kitu DadSec, který je společností Microsoft sledován pod názvem Storm-1575. Většina phishingových stránek byla nalezena na doménách nejvyšší úrovně .com, .de, .ru a .moscow, přičemž použití domén .ru se zdá být časem na ústupu. Zdá se, že Rockstar2FA utrpěl technické přerušení 11. listopadu 2024, kdy přesměrování na mezilehlé stránky generovalo chyby Cloudflare time-out a falešné přihlašovací stránky se nenačetly. Ačkoli není jasné, co způsobilo toto přerušení, prázdné místo po PhaaS nástroji vedlo k nárůstu phishingové aktivity spojené s FlowerStorm, který je aktivní minimálně od června 2024. Společnost Sophos uvedla, že obě služby sdílejí podobnosti, pokud jde o formát phishingových portálových stránek a metody používané k připojení k backendovým serverům pro získávání přihlašovacích údajů, což naznačuje možnost společného původu. Obě také zneužívají Cloudflare Turnstile, aby zajistily, že příchozí požadavky na stránky nejsou od botů. Předpokládá se, že přerušení z 11. listopadu představuje buď strategický posun jedné ze skupin, změnu personálu, který je provozuje, nebo záměrné úsilí o oddělení těchto dvou operací. V této fázi neexistují žádné definitivní důkazy spojující obě služby. Nejčastěji cílené země pomocí FlowerStorm zahrnují Spojené státy, Kanadu, Spojené království, Austrálii, Itálii, Švýcarsko, Portoriko, Německo, Singapur a Indii. „Nejvíce cíleným sektorem je sektor služeb, s vláštním zaměřením na firmy poskytující inženýrské, stavební, realitní a právní služby a poradenství,“ uvedla společnost Sophos. Zdroj: thehackernews

Přerušení phishing-as-a-service (PhaaS) nástroje s názvem Rockstar 2FA vedlo k rychlému nárůstu aktivity jiného nového nástroje nazvaného FlowerStorm.

„Zdá se, že skupina Rockstar2FA, která provozuje tuto službu, zažila alespoň částečný kolaps své infrastruktury, přičemž stránky spojené s touto službou již nejsou dostupné,“ uvedla společnost Sophos v nové zprávě zveřejněné minulý týden. „Nezdá se, že by šlo o zásah proti této službě, ale spíše o technické selhání na pozadí služby.“

Rockstar2FA byl poprvé zdokumentován společností Trustwave koncem listopadu 2024 jako PhaaS služba, která umožňuje hackerům spouštět phishingové útoky schopné získávat přihlašovací údaje k účtům Microsoft 365 a session cookies, čímž obchází ochranu vícefaktorového ověřování (MFA).

Služba je považována za aktualizovanou verzi phishingového kitu DadSec, který je společností Microsoft sledován pod názvem Storm-1575. Většina phishingových stránek byla nalezena na doménách nejvyšší úrovně .com, .de, .ru a .moscow, přičemž použití domén .ru se zdá být časem na ústupu.

Zdá se, že Rockstar2FA utrpěl technické přerušení 11. listopadu 2024, kdy přesměrování na mezilehlé stránky generovalo chyby Cloudflare time-out a falešné přihlašovací stránky se nenačetly.

Ačkoli není jasné, co způsobilo toto přerušení, prázdné místo po PhaaS nástroji vedlo k nárůstu phishingové aktivity spojené s FlowerStorm, který je aktivní minimálně od června 2024.

Společnost Sophos uvedla, že obě služby sdílejí podobnosti, pokud jde o formát phishingových portálových stránek a metody používané k připojení k backendovým serverům pro získávání přihlašovacích údajů, což naznačuje možnost společného původu. Obě také zneužívají Cloudflare Turnstile, aby zajistily, že příchozí požadavky na stránky nejsou od botů.

Předpokládá se, že přerušení z 11. listopadu představuje buď strategický posun jedné ze skupin, změnu personálu, který je provozuje, nebo záměrné úsilí o oddělení těchto dvou operací. V této fázi neexistují žádné definitivní důkazy spojující obě služby.

Nejčastěji cílené země pomocí FlowerStorm zahrnují Spojené státy, Kanadu, Spojené království, Austrálii, Itálii, Švýcarsko, Portoriko, Německo, Singapur a Indii.

„Nejvíce cíleným sektorem je sektor služeb, s vláštním zaměřením na firmy poskytující inženýrské, stavební, realitní a právní služby a poradenství,“ uvedla společnost Sophos.

Zdroj: thehackernews