Rockstar2FA崩壊で台頭する新フィッシングサービス「FlowerStorm」、Microsoft 365アカウントを標的に

Rockstar2FA崩壊で台頭する新フィッシングサービス「FlowerStorm」、Microsoft 365アカウントを標的に - innovaTopia - (イノベトピア)

フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Rockstar2FA」が2024年11月11日に技術的障害により突如停止し、代わりに「FlowerStorm」が台頭しています。

FlowerStormは2024年6月から活動を開始し、Rockstar2FAの停止後、急速に活動を拡大しています。フィッシングポータルページのフォーマットやバックエンドサーバーへの接続方法に類似点があり、共通の起源を持つ可能性が指摘されています。

主な標的は米国、カナダ、イギリス、オーストラリア、イタリアなどで、特にエンジニアリング、建設、不動産、法務サービス、コンサルティング企業が狙われています。

from:Rockstar2FA Collapse Fuels Expansion of FlowerStorm Phishing-as-a-Service

【編集部解説】

フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Rockstar2FA」が2024年11月11日に技術的障害により突如停止し、代わりに新たなサービス「FlowerStorm」が台頭している。

Rockstar2FAは、Microsoft 365アカウントの認証情報とセッションクッキーを収集し、多要素認証(MFA)を回避する機能を持つPhaaSツールキットで、2週間200ドル、1か月350ドルで提供されていた。

FlowerStormは2024年6月から活動を開始し、Rockstar2FAの停止後、急速に活動を拡大している。両サービスは、フィッシングポータルページのフォーマットやバックエンドサーバーへの接続方法に類似点があり、共通の起源を持つ可能性が指摘されている。

被害状況の内訳

  • 標的となった国:アメリカ(60%)、カナダ(8.96%)、イギリス(7%)が上位
  • 標的業種:サービス業(33%)、製造業(21%)、小売業(12%)、金融サービス(8%)

FlowerStormは特にエンジニアリング、建設、不動産、法務サービス、コンサルティング企業を重点的に狙っている。両サービスともCloudflare Turnstileを悪用してボット対策を行い、主に.com、.de、.ru、.moscowドメインでフィッシングページをホストしている。

セキュリティ企業Sophosの研究者Sean GallagherとMark Parsonsによると、Rockstar2FAの停止は法執行機関による対策ではなく、技術的な障害が原因とされている。

【用語解説】

  • PhaaS (Phishing-as-a-Service)
    従来のSaaSのように、月額料金を支払えば誰でも利用できる形態のサイバー攻撃サービス
  • AiTM(Adversary-in-the-Middle)攻撃
    ユーザーと正規のウェブサイトの間に攻撃者のサーバーを介在させ、認証情報を盗む手法
  • Cloudflare Turnstile
    ウェブサイトをボットから保護する認証システム

【参考リンク】

  1. Sophos公式サイト(外部)
    セキュリティソフトウェアとハードウェアを提供する世界的なセキュリティ企業のウェブサイト
  2. Trustwave公式サイト(外部)
    サイバーセキュリティとコンプライアンスのソリューションを提供するグローバル企業のポータル

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Rockstar2FA崩壊で台頭する新フィッシングサービス「FlowerStorm」、Microsoft 365アカウントを標的に