导语:此次中断的原因是 Windows 主机(7.11 及以上版本)的通道文件(传感器配置)更新触发了逻辑错误,从而导致系统崩溃。
威胁者利用 CrowdStrike 故障更新造成大规模业务中断,利用数据擦除器和远程访问工具攻击公司。随着越来越多企业寻求帮助,要求修复受影响的 Windows 主机,研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。
官方渠道沟通
CrowdStrike 在最新的更新中表示,它“正在积极协助受到近期内容更新影响的客户”,该更新导致全球数百万台 Windows 主机崩溃。
该公司建议客户通过官方渠道验证他们是否与合法代表进行沟通,因为“对手和不良行为者会试图利用此类事件”。
英国国家网络安全中心 (NCSC) 警告称,他们发现旨在利用此次中断的网络钓鱼邮件数量有所增加。自动恶意软件分析平台 AnyRun 也注意到“冒充 CrowdStrike 的尝试有所增加,这可能会导致网络钓鱼”。
伪装成修复程序和更新的恶意软件
网络安全研究员 g0njxa 首次报告了针对 BBVA 银行客户的恶意软件活动,该活动提供了安装 Remcos RAT 的虚假 CrowdStrike Hotfix 更新。
该虚假修补程序通过钓鱼网站 portalintranetgrupobbva[.]com 进行推广,该网站伪装成 BBVA 内部网门户。恶意存档中附有说明,告知员工和合作伙伴安装更新,以避免在连接到公司内部网络时出现错误。
“强制更新以避免公司内部网络的连接和同步错误”,西班牙语的“instrucciones.txt”文件写道。AnyRun 也在社交媒体上发布了有关同一活动的推文,他表示,假冒的热修复程序会提供 HijackLoader,然后将 Remcos 远程访问工具投放到受感染的系统上。
恶意软件加载程序伪装成 CrowdStrike 的修补程序
在另一个警告中,AnyRun 宣布攻击者正在以提供 CrowdStrike 更新为幌子分发数据擦除器。它通过用零字节覆盖文件来破坏系统,然后通过 #Telegram 报告此内容。
亲伊朗的黑客组织 Handala 声称发动了这次攻击,该组织在 Twitter 上表示,他们冒充 CrowdStrike 向以色列公司发送电子邮件,分发数据擦除器。威胁者冒充 CrowdStrike,通过域名“crowdstrike.com.vc”发送电子邮件,告诉客户他们创建了一个工具来让 Windows 系统恢复在线。
Handala 威胁者发送的网络钓鱼电子邮件
这些电子邮件包括一份 PDF,其中包含有关运行虚假更新的进一步说明,以及从文件托管服务下载恶意 ZIP 存档的链接。此 zip 文件包含一个名为“Crowdstrike.exe”的可执行文件。
恶意附件推送数据擦除器
一旦执行虚假的 CrowdStrike 更新,数据擦除器就会被提取到 %Temp% 下的文件夹并启动以销毁存储在设备上的数据。
数百万台 Windows 主机崩溃
CrowdStrike 软件更新中的缺陷对众多 Windows 系统产生了巨大影响,这对网络犯罪分子来说是一个不容错过的好机会。
据微软称,此次错误更新“影响了 850 万台 Windows 设备,占所有 Windows 设备的不到 1%”。此次损害发生在 78 分钟内,即 UTC 时间 04:09 至 UTC 时间 05:27 之间。
尽管受影响的系统比例很低,而且 CrowdStrike 也努力迅速解决问题,但影响却十分巨大。计算机崩溃导致数千架航班被取消,金融公司业务中断,医院、媒体组织、铁路瘫痪,甚至影响了紧急服务。
CrowdStrike 在上周六发布的事故分析文章中解释称,此次中断的原因是 Windows 主机(7.11 及以上版本)的通道文件(传感器配置)更新触发了逻辑错误,从而导致系统崩溃。
虽然导致崩溃的通道文件已被确定并且不再导致问题,但仍在努力恢复系统正常运行的公司可以按照 CrowdStrike 的指示来恢复单个主机、BitLocker 密钥和基于云的环境。
文章翻译自:https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/如若转载,请注明原文地址
