名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。

Trustwave 于 2024 年 11 月下旬首次记录，Rockstar2FA 作为 PhaaS 平台运行，促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项，以每两周 200 美元的价格向网络犯罪分子出售访问权限。

Sophos 研究人员表示，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃，导致该服务的许多页面无法访问，但这似乎不是针对网络犯罪平台的执法行动的结果，而是技术故障。几周后，FlowerStorm 首次出现在网上，并迅速获得关注。

Rockstar2FA 检测

1.这两个平台都使用模仿合法登录页面（例如 Microsoft）的网络钓鱼门户来获取凭据和 MFA 令牌，依赖于 .ru 和 .com 等域上托管的后端服务器。Rockstar2FA 使用随机 PHP 脚本，而 FlowerStorm 使用 next.php 进行标准化。

2.他们的钓鱼页面的 HTML 结构非常相似，具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。Rockstar2FA 使用汽车主题，而 FlowerStorm 则转向植物主题，但底层设计保持一致。

3.凭据收集方法紧密结合，使用电子邮件、通行证和会话跟踪令牌等字段。这两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。

4.域名注册和托管模式显著重叠，大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底，它们的活动模式显示出同步上升和下降，表明出潜在的协调。

5.这两个平台都出现了操作错误，暴露了后端系统并表现出了高可扩展性。Rockstar2FA 管理着 2000 多个域名，而 FlowerStorm 在 Rockstar2FA 崩溃后迅速扩张，这是一个共享框架。

活动模式

Sophos 总结道：“我们不能将 Rockstar2FA 和 FlowerStorm 联系起来，除非注意到由于部署的套件内容相似，这些套件至少反映了共同的系统。” 

类似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协调工作，尽管这些匹配模式也有可能更多地是由市场力量而非平台本身驱动。

无论 FlowerStorm 突然崛起背后的原因是什么，对于用户和企业来说，它是破坏性网络钓鱼攻击的又一推动因素，可能导致全面的网络攻击。Sophos 的遥测显示，FlowerStorm 所针对的大约 63% 的组织和 84% 的用户位于美国。

FlowerStorm  目标

最受攻击的行业是服务业（33%）、制造业（21%）、零售业（12%）和金融服务业（8%）。为了防范网络钓鱼攻击，请使用具有 AiTM 抵抗 FIDO2 令牌的多重身份验证 (MFA)、部署电子邮件过滤解决方案，并使用 DNS 过滤来阻止对可疑域（如 .ru、.moscow 和 .dev）的访问。

参考及来源：https://www.bleepingcomputer.com/news/security/new-flowerstorm-microsoft-phishing-service-fills-void-left-by-rockstar2fa/