研究人员提及,上述情况发生在Trustwave揭露Rockstar 2FA的两周前,网钓工具租用服务的基础设施无法存取,并回传HTTP 522的错误讯息,这意味骇客已经切断原本使用的Cloudflare内容传递网路(CDN)。此外,攻击者用来进行C2通讯的Telegram频道,也疑似已经下线。
事隔数周,研究人员发现新的网钓工具包租用服务FlowerStorm活动变得频繁,并发现该网钓工具包与Rockstar 2FA有共通特征,这些功能疑似源自与透过Telegram机器人运作、名为Tycoon的网钓工具包租用服务。
其中一项是两种网钓工具包都针对M365登入网页而来,后台的伺服器使用.ru或.com的网域名称,但不同之处在于,Rockstar 2FA使用随机产生的PHP指令码,而FlowerStorm统一使用next.php。
再者,则是钓鱼网页的HTML结构高度雷同,都具备捏造的评论、声称由Cloudflare Turnstile提供的资安服务,不过,两者使用的诱饵不同,Rockstar 2FA以汽车为诱饵,而FlowerStorm的诱饵则是以植物为主题。
此外,两个网钓工具包挟持M365帐号的手段一致,都是透过后端系统进行电子邮件、多因素身分验证(MFA)的流程。
另一方面,骇客注册的网域名称及代管方式也有显著重叠,而且,骇客都不慎在操作上出错,从而曝露后端系统的样貌。
虽然研究人员无法完全确定FlowerStorm就是Rockstar 2FA另起炉灶,但他们可以确定的是,根据骇客使用的套件,骇客很有可能采用相同的工具为基础进行开发,而相似的网域名称注册模式,则可能是因为两组经营团队在相关作业上彼此进行协调。