FlowerStorm: новая угроза обхода MFA и кражи учетных данных Microsoft 365
FlowerStorm: новая угроза в мире фишинга с обходом MFA
Платформа FlowerStorm представляет собой значительный шаг вперёд в эволюции сервисов phishing-as-a-service (PhaaS). Этот инструмент, пришедший на смену ныне неактивной Rockstar2FA, использует передовые методы атаки-in-the-middle (AitM), нацеливаясь преимущественно на кражу учётных данных Microsoft 365 с обходом многофакторной аутентификации (MFA). Анализ, проведённый экспертами Darktrace, выявил ключевые особенности и уязвимости, связанные с использованием FlowerStorm, а также показал схожесть с предыдущей платформой Rockstar2FA в части инфраструктуры и дизайна фишинговых страниц.
Особенности платформы FlowerStorm
FlowerStorm применяет поддельные страницы авторизации, маскирующиеся под официальные сервисы Microsoft, чтобы получать в распоряжение злоумышленников как логины и пароли пользователей, так и токены MFA. Инфраструктура сервера платформы традиционно размещается в доменах .ru и .com, что совпадает с используемыми Rockstar2FA доменами, несмотря на ребрендинг, связанный с ботанической тематикой.
- Использование фишинговых страниц с адаптацией под Microsoft 365;
- Работа в доменных зонах .ru и .com;
- Активное применение методов AitM для обхода MFA;
- Реализация внутреннего коммуникационного протокола через «next.php»;
- Использование сервисов Cloudflare для некоторых фишинговых страниц с июня 2024 года, что указывает на адаптацию методов.
Кейс взлома и выявленные аномалии
В марте 2025 года эксперты Darktrace обнаружили тревожную активность, связанную с FlowerStorm. Среди выявленных инцидентов — несанкционированный доступ к учётной записи клиента формата SaaS (Software as a Service) с подозрительных внешних IP-адресов, включая IP 69.49.230.198. Интересно, что до непосредственного взлома в Microsoft 365 фиксировались необычные попытки входа в систему, предположительно через Microsoft PowerApps. Хотя этот инструмент официально не был подтверждён как источник угрозы, он может выступать в роли канала для распространения фишинговых приложений или эксплуатации уязвимостей.
Дальнейшие действия злоумышленников включали сброс пароля в Azure Active Directory с того же IP, что позволило повысить привилегии и усилить контроль над скомпрометированной учётной записью.
Роль Darktrace и применённые меры
Использование AI-анализатора Darktrace позволило выявить несколько аномалий, связанных с поведением при логинах в целевой сети. Эти наблюдения подтверждают, что FlowerStorm способен обходить MFA и обеспечивать злоумышленникам несанкционированный доступ с расширением прав.
Для нейтрализации угрозы использовалась автономная система реагирования Darktrace, которая рекомендовала:
- Блокировку дальнейших подключений с подозрительного IP-адреса;
- Отключение компрометированной учётной записи пользователя;
- Проведение ручной проверки действий реагирования для обеспечения корректности мер.
Отмечено, что текущий подход реагирования с ручным контролем создаёт потенциальные риски из-за задержек по времени. Автоматизация подобных процессов могла бы значительно сократить возможность вредоносной деятельности и предотвратить дальнейшие атаки.
Выводы и перспективы
FlowerStorm являет собой пример постоянно меняющегося ландшафта киберугроз в сфере PhaaS, демонстрируя как сложность используемых методик, так и опасность атаки на SaaS-инфраструктуру. Её способность обходить MFA и эффективно маскироваться под легитимные сервисы заставляет компании усилить контроль и применять современные платформы защиты, основанные на AI-аналитике.
Данный кейс подчеркивает важность постоянного мониторинга аномалий в поведении пользователей и предупреждения потенциальных атак на ранних стадиях, особенно в контексте облачных сервисов и высокоуровневой аутентификации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
