网络犯罪分子利用 CrowdStrike 更新蓝屏事件传播多种恶意软件

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断,面临压力。目前,该公司警告称,攻击者正在利用这一情况,以提供修补程序为幌子,向其拉丁美洲客户分发 Remcos RAT。

攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件,其中包含一个名为Hijack Loader(又名 DOILoader 或 IDAT Loader)的恶意软件加载器,然后启动 Remcos RAT 负载。

具体来说,该存档文件还包括一个文本文件(“instrucciones.txt”),其中包含西班牙语说明,敦促目标运行可执行文件(“setup.exe”)来从问题中恢复。

微信图片_20240722104347

该公司表示:“值得注意的是,ZIP 档案中的西班牙语文件名和说明表明,此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”,并将此次活动归咎于一个疑似电子犯罪组织。

周五,CrowdStrike 承认,在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误,导致了蓝屏死机 (BSoD),令众多系统无法运行,并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。

攻击者迅速利用此次事件造成的混乱,建立冒充 CrowdStrike 的域名抢注网站,并向受此问题影响的公司宣传服务,以换取加密货币支付。

建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通,并遵守 CrowdStrike 支持团队提供的技术指导”。

微软表示,此次数字危机导致全球 850 万台 Windows 设备瘫痪,这占所有 Windows 设备的不到 1%。

此次事件再次凸显了依赖单一供应链的风险,标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。

微软表示:“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们,对于整个技术生态系统中的所有人来说,使用现有机制优先考虑安全部署和灾难恢复是多么重要。”

英国国家网络安全中心 (NCSC) 警告称,旨在利用此次中断的网络钓鱼信息有所增加。

自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加,这可能会导致网络钓鱼”

AnyRun 发现,恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader,该程序会在受感染的系统上投放 Remcos 远程访问工具。

为了诱骗受害者安装恶意软件,攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中,承诺提供来自 CrowdStrike 的修补程序。

微信图片_20240722104423

恶意软件加载程序伪装成 CrowdStrike 的修补程序

AnyRun 在另一条警告中宣布,攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器:“它通过用零字节覆盖文件来破坏系统,然后通过 #Telegram 报告此事。”

2

虚假的 CrowdStrike 更新会擦除文件

在另一个例子中,AnyRun 指出,网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。

一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档,其中包含恶意可执行文件 CrowdStrike.exe。

受害企业还要面临的另一种安全威胁

因为目前几乎所有灾难恢复方案需要受害者手动操作,即删除引发蓝屏的 CrowdStrike 驱动程序。

当完成该步骤后, CrowdStrike 软件处于短暂的防守空白期,用户也可能卸载该软件(比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件)。有研究人员认为,完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。


转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容