Sophos在上周发布的新报告中表示:“似乎运营[Rockstar2FA]服务的团队至少经历了基础设施的部分崩溃,与该服务相关的页面不再可访问。这似乎并非因为被取缔行动,而是因为服务后端的某些技术故障。”
Rockstar2FA最初由Trustwave在上月底记录为一种PhaaS服务,允许犯罪分子发起能够窃取Microsoft 365账户凭证和会话cookie的网络钓鱼攻击,从而绕过多重因素认证(MFA)保护。
该服务被评估为DadSec网络钓鱼工具包的更新版本,微软将其追踪为Storm-1575。大多数网络钓鱼页面被发现托管在.com、.de、.ru和.moscow顶级域名上,尽管人们相信.ru域名的使用量随时间减少。
Rockstar2FA似乎在2024年11月11日遭受了技术中断,当时重定向到中间诱饵页面时产生了Cloudflare超时错误,伪造的登录页面无法加载。
虽然尚不清楚导致中断的原因,但PhaaS工具包留下的空白导致与FlowerStorm相关的网络钓鱼活动激增,FlowerStorm自2024年6月以来一直活跃。
Sophos表示,这两种服务在网络钓鱼门户页面的格式和连接后端服务器以收集凭证的方法上存在相似之处,这引发了它们可能有共同起源的可能性。它们还滥用Cloudflare Turnstile,以确保传入页面请求不是来自机器人。
人们怀疑11月11日的中断可能代表其中一个团队的战略转变、运营人员的变动,或是有意将两个操作分开的努力。目前没有确凿的证据将这两个服务联系起来。
使用FlowerStorm最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。
Sophos表示:“服务行业是最受攻击的行业,特别是那些提供工程、建筑、房地产和法律服务及咨询的公司。”
如果有什么不同的话,这些发现再次说明了攻击者使用网络犯罪服务和商品工具在不需要太多技术专长的情况下,也能大规模进行网络攻击的持续趋势。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容