駭客正在利用 CrowdStrike 事件進行網路釣魚、詐騙和惡意軟體傳播。
網路安全公司 CrowdStrike 因推出有缺陷的更新,造成使用該公司服務的Windows設備發生全球性大癱瘓。該公司現在警告,網路攻擊者藉機以提供修補程式為偽裝,向拉丁美洲CrowdStrike用戶散播 Remcos RAT惡意軟體。
攻擊手法是先散播名為「crowdstrike-hotfix.zip 」的 ZIP檔,其中包含名為Hijack Loader (又稱 DOILoader 或 IDAT Loader)的惡意軟體載入程式,該載入程式進而啟動 Remcos RAT。
具體來說,文件檔中還包括一個文字檔(“instruucciones.txt”),此文字檔附帶西班牙語說明,促使想要修復問題的受害者開啟執行檔(“setup.exe”)。
CrowdStrike表示,值得注意的是,ZIP 檔案中的西班牙語檔名和附帶說明,都顯示出該攻擊行動很可能是針對他們公司的拉丁美洲 (LATAM) 客戶。歸咎其原因,一個電子犯罪組織涉嫌重大。
上週五,CrowdStrike 證實,UTC (世界協調時間) 7 月19 日04:09 推送到EDR系統CrowdStrike Falcon 平台上 (使用Windows 設備) 的例行感應器組態更新無意中觸發了邏輯上的錯誤,因此導致藍屏當機(BSoD),進而使得許多系統無法運行並讓企業陷入混亂。
CrowdStrike 表示,他們積極地協助客戶,補救因為最近的內容更新而導致全球數百萬台 Windows 主機癱瘓的情況。CrowdStrike建議受影響的客戶確保通過官方管道與 CrowdStrike 客戶服務代表聯繫,並遵循 CrowdStrike 支援團隊提供的技術指引。
英國國家網路安全中心(NCSC)警告,他們觀察到利用此次主機癱瘓事件的網路釣魚活動有大幅增加的情況。
惡意軟體沙箱服務業者AnyRun 也注意到「企圖假冒 CrowdStrike 以從中得利的情形有所增加,這些可能會引發網路釣魚型態的攻擊活動」。此外,威脅情報平台FalconFeeds的報告指出,巴勒斯坦駭客組織正利用 CrowdStrike 事件,試圖藉機引誘以色列企業用戶在他們的系統上安裝擦除器惡意軟體 (wiper malware )。
更糟糕的是 CrowdStrike 更新事故導致多個產業出現營運中斷,包括航空、金融、醫療和教育產業。美國有線電視新聞網 (CNN)週日報導,連續第三天有超過 1,500 架航班被取消,更有數千架航班因此延誤。
對於 CrowdStrike 的更新出錯,微軟一直有參與進行補救措施。據微軟表示,這次事件導致全球共計 850 萬台 Windows 裝置癱瘓(佔比不到所有 Windows 機器的百分之一)。
微軟也發布聲明:“這一事件說明了我們無遠弗屆的數位網路系統—包括全球雲端提供商、軟體平台、資訊安全廠商和其他軟體服務商以及客戶之間的相互關聯性。 ” “同時也提醒我們,對於整個數位技術系統中的所有人來說,利用現有機制優先進行安全性部署和建立自災難事故復原的標準流程,是最重要的課題。”
CrowdStrike/ RemCos惡意軟體相關的部分的入侵指標(IOCs):
1e84736efce206dc973acbc16540d3e5
371c165e3e3c1a000051b78d7b0e7e79
da03ebd2a8448f53d1bd9e16fc903168
2a2ecbbd4840c486b3507a18307369336ec5a1aa
889b4f487d8bba6af6ff6eb7f5afd74957586c49
fef212ec979f2fe2f48641160aadeb86b83f7b35
48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184
5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9
931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6
c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2
d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea