FlowerStorm: Новая платформа для фишинга атакует Microsoft 365, обходя MFA

Аналитики предполагают, что FlowerStorm может быть ребрендингом ранее известной платформы Rockstar2FA. Новая версия сохранила основные методы работы, но изменила визуальное оформление - теперь в интерфейсе используются ботанические темы с названиями вроде "Sprout" и "Blossom". Как и предшественник, сервис создает точные копии страниц входа Microsoft 365 и размещает свою инфраструктуру на доменах .ru, .moscow и .com.

В марте 2025 года система Darktrace зафиксировала серию подозрительных действий в корпоративной сети одного из клиентов. Были обнаружены необычные входы в Microsoft 365 с IP-адреса 69.49.230.198, который ранее связывали с активностью FlowerStorm. Особую тревогу вызвали попытки сброса пароля через Azure Active Directory и аномальное использование MFA-аутентификации, что указывало на возможный успешный обход защиты.

Эксперты отмечают, что подобные платформы делают сложные кибератаки доступными даже для неопытных злоумышленников. Использование легитимных сервисов вроде Cloudflare для маскировки фишинговых страниц значительно усложняет их обнаружение традиционными методами защиты.

Для противодействия таким угрозам компаниям рекомендуется усилить мониторинг подозрительной активности в корпоративных аккаунтах, особенно обращая внимание на аномальные входы и необычные действия с учетными записями. Важное значение имеет регулярное обучение сотрудников современным методам социальной инженерии. Внедрение систем на основе искусственного интеллекта позволяет автоматизировать процесс обнаружения и реагирования на подобные угрозы.

Появление FlowerStorm подтверждает устойчивую тенденцию - киберпреступники постоянно совершенствуют свои методы, делая атаки более изощренными и сложными для обнаружения. В условиях, когда фишинг становится услугой, доступной в аренду, бизнесу необходимо соответствующим образом адаптировать свои системы защиты.

IPv4

• 69.49.230.198