7月19日，CrowdStrike的故障更新造成了大規(guī)模業(yè)務(wù)中斷。威脅行為者正在使用數(shù)據(jù)清除工具和遠(yuǎn)程訪問工具并假冒CrowdStrike。

研究人員和政府機(jī)構(gòu)發(fā)現(xiàn)，由于企業(yè)正在尋求幫助來修復(fù)受影響的Windows主機(jī)，近期利用這種情況的網(wǎng)絡(luò)釣魚電子郵件有所增加。

官方渠道建立溝通

7月21日，CrowdStrike表示，公司“正在積極協(xié)助客戶”解決更新錯(cuò)誤帶來的影響。公司提醒客戶，確保他們是通過官方渠道與合法代表溝通，因?yàn)椤皩?duì)手和不良行為者可能會(huì)試圖利用此類事件。"

“我鼓勵(lì)每個(gè)人保持警惕，并確保你與官方CrowdStrike代表接觸。我們的博客和技術(shù)支持將繼續(xù)提供最新更新的官方渠道?！?/p>

——CrowdStrike CEO喬治·庫(kù)爾茨（George Kurtz）

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）也發(fā)出警告，指出他們觀察到網(wǎng)絡(luò)釣魚郵件的數(shù)量有所增加。自動(dòng)化惡意軟件分析平臺(tái)AnyRun注意到“模仿CrowdStrike的嘗試有所增加，這可能會(huì)導(dǎo)致網(wǎng)絡(luò)釣魚。”

惡意軟件偽裝成修復(fù)和更新

7月20日，網(wǎng)絡(luò)安全研究人員g0njxa首次報(bào)告首次報(bào)告了一起針對(duì)BBVA銀行客戶的惡意軟件攻擊活動(dòng)。

這次攻擊活動(dòng)假冒CrowdStrike修復(fù)更新來誘騙用戶下載，而實(shí)際安裝一個(gè)名為Remcos的遠(yuǎn)程訪問木馬（Remote Access Trojan，簡(jiǎn)稱RAT）。這個(gè)假冒的修補(bǔ)程序是通過一個(gè)釣魚網(wǎng)站portalintranetgrupobbva[.] com，它偽裝成西班牙對(duì)外銀行的內(nèi)聯(lián)網(wǎng)門戶。

AnyRun也在推特上發(fā)布了類似的活動(dòng)信息。攻擊者通過一個(gè)偽裝的熱修復(fù)程序分發(fā)了HijackLoader惡意軟件，該惡意軟件隨后在受感染的系統(tǒng)上釋放了Remcos遠(yuǎn)程訪問工具，使得攻擊者能夠遠(yuǎn)程控制受影響的計(jì)算機(jī)。

在另一個(gè)警告中，AnyRun表示攻擊者正在分發(fā)一個(gè)數(shù)據(jù)擦拭器，聲稱產(chǎn)品提供CrowdStrike的更新。AnyRun提示，“它通過刪除零字節(jié)的文件來破壞系統(tǒng)，然后通過Telegram報(bào)告。”

另外，一個(gè)叫Handala的黑客組織稱他們?cè)诮o以色列公司的電子郵件中冒充CrowdStrike分發(fā)數(shù)據(jù)擦拭器。

該組織通過從域名“crowdstrike.com.vc”發(fā)送電子郵件來冒充CrowdStrike，讓客戶創(chuàng)建新工具來使Windows系統(tǒng)重新在線。執(zhí)行假CrowdStrike更新后，數(shù)據(jù)擦除器將被提取到%Temp%下的文件夾中，并啟動(dòng)從而銷毀存儲(chǔ)在設(shè)備上的數(shù)據(jù)。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明