Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

FlowerStorm: новая угроза обхода MFA и кражи учетных данных Microsoft 365

3 мин
Платформа FlowerStorm представляет собой значительный шаг вперёд в эволюции сервисов phishing-as-a-service (PhaaS). Этот инструмент, пришедший на смену ныне неактивной Rockstar2FA, использует передовые методы атаки-in-the-middle (AitM), нацеливаясь преимущественно на кражу учётных данных Microsoft 365 с обходом многофакторной аутентификации (MFA). Анализ, проведённый экспертами Darktrace, выявил ключевые особенности и уязвимости, связанные с использованием FlowerStorm, а также показал схожесть с предыдущей платформой Rockstar2FA в части инфраструктуры и дизайна фишинговых страниц. FlowerStorm применяет поддельные страницы авторизации, маскирующиеся под официальные сервисы Microsoft, чтобы получать в распоряжение злоумышленников как логины и пароли пользователей, так и токены MFA. Инфраструктура сервера платформы традиционно размещается в доменах .ru и .com, что совпадает с используемыми Rockstar2FA доменами, несмотря на ребрендинг, связанный с ботанической тематикой. В марте 2025 года
Оглавление

FlowerStorm: новая угроза в мире фишинга с обходом MFA

Платформа FlowerStorm представляет собой значительный шаг вперёд в эволюции сервисов phishing-as-a-service (PhaaS). Этот инструмент, пришедший на смену ныне неактивной Rockstar2FA, использует передовые методы атаки-in-the-middle (AitM), нацеливаясь преимущественно на кражу учётных данных Microsoft 365 с обходом многофакторной аутентификации (MFA). Анализ, проведённый экспертами Darktrace, выявил ключевые особенности и уязвимости, связанные с использованием FlowerStorm, а также показал схожесть с предыдущей платформой Rockstar2FA в части инфраструктуры и дизайна фишинговых страниц.

Особенности платформы FlowerStorm

FlowerStorm применяет поддельные страницы авторизации, маскирующиеся под официальные сервисы Microsoft, чтобы получать в распоряжение злоумышленников как логины и пароли пользователей, так и токены MFA. Инфраструктура сервера платформы традиционно размещается в доменах .ru и .com, что совпадает с используемыми Rockstar2FA доменами, несмотря на ребрендинг, связанный с ботанической тематикой.

  • Использование фишинговых страниц с адаптацией под Microsoft 365;
  • Работа в доменных зонах .ru и .com;
  • Активное применение методов AitM для обхода MFA;
  • Реализация внутреннего коммуникационного протокола через «next.php»;
  • Использование сервисов Cloudflare для некоторых фишинговых страниц с июня 2024 года, что указывает на адаптацию методов.

Кейс взлома и выявленные аномалии

В марте 2025 года эксперты Darktrace обнаружили тревожную активность, связанную с FlowerStorm. Среди выявленных инцидентов — несанкционированный доступ к учётной записи клиента формата SaaS (Software as a Service) с подозрительных внешних IP-адресов, включая IP 69.49.230.198. Интересно, что до непосредственного взлома в Microsoft 365 фиксировались необычные попытки входа в систему, предположительно через Microsoft PowerApps. Хотя этот инструмент официально не был подтверждён как источник угрозы, он может выступать в роли канала для распространения фишинговых приложений или эксплуатации уязвимостей.

Дальнейшие действия злоумышленников включали сброс пароля в Azure Active Directory с того же IP, что позволило повысить привилегии и усилить контроль над скомпрометированной учётной записью.

Роль Darktrace и применённые меры

Использование AI-анализатора Darktrace позволило выявить несколько аномалий, связанных с поведением при логинах в целевой сети. Эти наблюдения подтверждают, что FlowerStorm способен обходить MFA и обеспечивать злоумышленникам несанкционированный доступ с расширением прав.

Для нейтрализации угрозы использовалась автономная система реагирования Darktrace, которая рекомендовала:

  • Блокировку дальнейших подключений с подозрительного IP-адреса;
  • Отключение компрометированной учётной записи пользователя;
  • Проведение ручной проверки действий реагирования для обеспечения корректности мер.

Отмечено, что текущий подход реагирования с ручным контролем создаёт потенциальные риски из-за задержек по времени. Автоматизация подобных процессов могла бы значительно сократить возможность вредоносной деятельности и предотвратить дальнейшие атаки.

Выводы и перспективы

FlowerStorm являет собой пример постоянно меняющегося ландшафта киберугроз в сфере PhaaS, демонстрируя как сложность используемых методик, так и опасность атаки на SaaS-инфраструктуру. Её способность обходить MFA и эффективно маскироваться под легитимные сервисы заставляет компании усилить контроль и применять современные платформы защиты, основанные на AI-аналитике.

Данный кейс подчеркивает важность постоянного мониторинга аномалий в поведении пользователей и предупреждения потенциальных атак на ранних стадиях, особенно в контексте облачных сервисов и высокоуровневой аутентификации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FlowerStorm: новая угроза обхода MFA и кражи учетных данных Microsoft 365".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.