新フィッシングサービスFlowerStormがMicrosoft 365の認証情報を標的に Rockstar2FAに代わって台頭 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新フィッシングサービスFlowerStormがMicrosoft 365の認証情報を標的に Rockstar2FAに代わって台頭

Threat Report

AiTM

FlowerStorm

MFA

新フィッシングサービスFlowerStormがMicrosoft 365の認証情報を標的に Rockstar2FAに代わって台頭

佐々山 Tacos

佐々山 Tacos

2024.12.23

新フィッシングサービスFlowerStormがMicrosoft 365の認証情報を標的に Rockstar2FAに代わって台頭

BleepingComputer – December 21, 2024 

Microsoft 365の認証情報を狙う新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「FlowerStorm」が最近人気を高めており、先月突如シャットダウンしたPhaaS「Rockstar2FA」の抜けた穴を埋めるようになっているという。Sophosの研究者らが報告した。

Rockstar2FAとは、今年11月後半に初めて報告されたPhaaSプラットフォーム。Microsoft 365の認証情報を盗み出すための中間者攻撃(AiTM)を大規模に実施できるようにするサービスで、2週間につき200ドルという価格でサイバー犯罪者らに提供されていた。しかしSophosの研究者によれば、11月11日にRockstar2FAのインフラが部分的に破損し、同サービスの多くのページがアクセス不能になったという。これは法執行機関による取り締まりの結果ではなく、技術的な過失によるものだろうと研究者らは述べている。その数週間後、すばやく人気を高めていったのがFlowerStorm。同サービスは遅くとも2024年6月に出現し、Rockstar2FAと同じくMicrosoft 365の認証情報を狙うためのフィッシングサービスを提供し始めたとされる。

Sophosの研究者らは、「高い確度でRockstar2FAとFlowerStormを結びつけることはできない」としつつも、以下のような類似点が特定されたことについて報告。これらは、両サービスの出どころあるいはオペレーションに重複があることを示唆している可能性がある。

  • いずれのプラットフォームも、「.ru」や「.com」といったドメインでホストされるバックエンドサーバーを利用し、正規のログインページ(マイクロソフトなど)を模倣するフィッシングポータルを使って認証情報やMFAトークンを奪おうとしている。
  • 両サービスのHTML構造は非常に似通っている。
  • 認証情報のハーベスティング手法が類似している。
  • ドメイン登録およびホスティングのパターンに大きな重複が見られる。

FlowerStormから組織を守るには、AiTM耐性のあるFIDO2トークンを使った多要素認証(MFA)を使う、メールフィルタリングソリューションを導入する、DNSフィルタリングを使って疑わしいドメインへのアクセスを制限する、などの対策を実施する必要がある。

【無料配布中!】ランサムウェアリークサイトの分析レポート

ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』

さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポートリークサイト統計に見るランサムウェアグループの傾向を、以下のバナーより無料でダウンロードいただけます。

<レポートの目次>

  • 要点
  • 掲載件数:全世界と日本の比較
  • グループ別内訳:全世界と日本の比較
    ✔️特筆すべきトレンド
    ⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
    ⚪︎LockBitと8Base
    ⚪︎Clopは減少も、2023年には急増を観測
  • 業界別内訳:全世界と日本の比較

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ