TT Phishing Log

フィッシング・詐欺・スパムメール関係の調査・研究ログ

Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS)

【訳】

ロックスターの2要素認証:フィッシング・アズ・ア・サービス(PaaS)の推進力


【図表】


出典:


【要約】

Rockstar 2FAは、フィッシング・アズ・ア・サービス(PhaaS)モデルを通じ、Microsoft 365ユーザーを標的とする中間者(AiTM)攻撃を促進しています。このプラットフォームは、2要素認証(MFA)の回避やセッションクッキーの収集が可能で、低コストかつ容易に展開可能です。侵害されたアカウントを使い、フィッシングやビジネスメール詐欺(BEC)攻撃を行うリスクが高まっています。Rockstar 2FAは高度な戦術を用い、引き続きフィッシング活動を拡大するとみられます。


【ブログ】

◆Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS) (BleepingComputer, 2024/11/26)
[ロックスターの2要素認証:フィッシング・アズ・ア・サービス(PaaS)の推進力]
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas/


IOCs:

Initial and/or Intermediary links:

hxxp[://]cc[.]naver[.]com/cc?a=pst[.]link&m=1&nsc=Mblog[.]post&u=hxxps%3A%2F%2Fwww[.]curiosolucky[.]com/dos/
hxxps[://]www[.]curiosolucky[.]com/dos/
hxxps[://]magenta-melodious-garnet[.]glitch[.]me/public/rc[.]htm
hxxp[://]track[.]senderbulk[.]com/9164124/c?p=pDvu1IoaZGOuiG9hOsGCPPBXFmtx2_vWwJfaiQBzucIA8v9mjc3ztSyOneYxrKLjPngUzpA11TuGi1aI2aLIylOF1nHcpBoP4YzUvVEMYHtwY1nRlztPcQOoC6S6KSWuNNAgIAVnfapCVCgF1cOjSXtedVH_tWc1vLDH7FDQA0VZbtHORodc9jBuNuHh0DMH7zq9Mo6OMyLjnApzvQ3Kvw==
hxxps[://]edlyj[.]r[.]ag[.]d[.]sendibm3[.]com/mk/cl/f/sh/OycZvHuFo1eQsnbcJj9r9GQ4/Lf5JdugpPYQV
hxxps[://]link[.]trustpilot[.]com/ls/click?upn=u001[.]u9-2FNN-2FjLZCX2YnHXPQ1lM4gqkGMqJbqpuJx-2FSxHxK-2FHK5blCjdqA4sTpFhMxVuvd4F2C_ytJ-2BU3wnk2t0HzMc51nsdI5jCvjlH5KkDNOR5oq1uEJItlkSMD-2F0mdF-2F-2B0td2onmiDV9xpRWw-2FdvTM3A0wCvdsiFkF1kSdgdFrVAE78L337Qo3s56Gk0s6E6DwCfNIKl8bRli5iK2LUC2ldGxjFPYGCigbeEgNBwg1dcBwOOCSSMKGEAZxhwoFvF5-2Fm5JIsTGsZgQlFDpHLis00H4SRzSjnDGYeia8OxbZOi3NmC9Zu0y59gc0DEENkQqz3vpJLxuDhLJpYJpzgnl5FKcj4hKsjfHYOBYWFlwHMrDBS4Cvh4Jej-2FzpBQsqkaAsezwGEEHqB22DcDQgay2Cm-2BbwAcZMOxqHcQjy3nz6aJyACCXDZkVr8P3iPKgjlqDjbsFb-2BJ-2BuUIiNGVhLp1-2F3wvR6hrzO1bA127bZ68-2BmxJz7ux0F5Htfv1SipEoRgLt6VWovRUTbAmRMRtZHvPS49KRBqCjzSnmChbhoVriyoBm5l9IeUaV5raA4vZxPckk3vcYaVa0xmCZLDFC14eTimJvqIk1CqOPtji8DUcs3pyfer4J-2Fk-3D
hxxps[://]u1427642[.]ct[.]sendgrid[.]net/ss/c/u001[.]d04lnC885Iiw-JDl08ZraoSXFe9HwA-SkWLpgNZDbZzgIKoIZZYrlHao4m6r2Vm6/4a0/vg0RNJ9pTvCzCNn5rS7A6Q/h0/h001[.]3pGdTVyFoOmaVG2IhlxshDsg0cLE6sckLThbmumHqI0
hxxps[://]docsend[.]com/view/q6f7ukbdeviagha2
hxxps[://]cloudflare-kol[.]github[.]io/out/red[.]html?url=aHR0cHM6Ly9zaG9ydHVybC5hdC80SlZnbg==
hxxps[://]shorturl[.]at/4JVgn
hxxps[://]system23cfb9[.]link[.]bmesend[.]com/api/LinkHandler/getaction2?redirectParam2=K09weU5vMDBKWXFUK0ZPdkw4azdKWHk5QlJsZkNXWXlLMUxiMHdXQU1YK3FFZGFsZG9ZQ2ZqNUdHd3ErZEpLeGpyeVE1U1hmU2xoSy9WemJySVEzQytGajZBVWE4em5jaEpuRHhEa05xOTZOcWxQRVdUN1g2S2ViR3YvZjN1K2dJZk9rQTRVajZmMD0%3d
hxxps[://]r[.]g[.]bing[.]com/bam/ac?!&&daydream=vasectomy&u=a1aHR0cHM6Ly9jeWJlcm5leGlsbHVtby56YS5jb20vVFZOUHIv==
hxxps[://]ctrk[.]klclick3[.]com/l/01J5V2NHDC0KB0P8B51Z9PCPZS_0
hxxps[://]googlevoicesecrets[.]com/EHkslw5/auth/?_kx=lKiN48B6FuEu_OYp2PJPXw[.]Sdgjsn
hxxps[://]www[.]google[.]com[.]au/url?q=//www[.]google[.]co[.]nz/amp/s/synthchromal[.]ru/Vc51/
hxxps[://]semi-zcmp[.]maillist-manage[.]com/click/1122f15d012c0933f/1122f15d012c08f77?utm_source=aynures-newsletter[.]beehiiv[.]com&utm_medium=newsletter&utm_campaign=yes-my-gee&_bhlid=c1191c405e82c32c645acb82f875fdd8fad29209
hxxps[://]involucrases[.]sa[.]com/
hxxps[://]callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice[.]s3[.]us-east-2[.]amazonaws[.]com
hxxps[://]payment-confirmation-to-your-bank-account-s-dabringhaus-licatec[.]packinqsystems[.]de/
hxxps[://]pub-fe581134d7ae4857a97443270a27e0fa[.]r2[.]dev/0nedrive[.]html
hxxps[://]docsecureatt-docdrive-filedoc[.]pages[.]dev/

Landing Pages:

hxxps[://]bluntchiefei[.]za[.]com/XTCfX/
hxxps[://]botolaasprop[.]sa[.]com/N26Vu/
hxxps[://]erfolgstipss[.]com[.]de/Gnq8/
hxxps[://]digitalgadgetbuzz[.]sa[.]com/WyAn/
hxxps[://]bitesizeusaei[.]za[.]com/ol6Bu/
hxxps[://]enterbuzztechscener[.]pl/pbtmx/
hxxps[://]pfremiumshirts[.]store/D91p/
hxxps[://]lifestylesyncteche[.]pro/Ykiy/
hxxps[://]bytequestixo[.]pro/wWge/
hxxps[://]cybernexillumo[.]za[.]com/TVNPr/
hxxps[://]novatechies[.]cbg[.]ru/BUeEj/
hxxps[://]synthchromal[.]ru/Vc51/
hxxps[://]cyberdynalumeo[.]ru/1RB3Y/

AiTM Server Domains:

entertainmentcircuitss[.]ru
fruechtebox-expresszsnu[.]ru
recambioselecue[.]ru
googlesecurityforums[.]Moscow
entertaingadgetop[.]ru
ponnet[.]msk[.]su
mieten[.]com[.]ru
albumilustrado[.]msk[.]ru
Share:
Copy Link
Link Copied
LinkedIn
X
Facebook
Stay Informed

Business Email*
WEBINAR
Phishing-as-a-Service: Evolving Tactics and Countermeasures


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2008-2022