7月19日，CrowdStrike的故障更新造成了大規(guī)模業(yè)務中斷。威脅行為者正在使用數(shù)據(jù)清除工具和遠程訪問工具并假冒CrowdStrike。

研究人員和政府機構發(fā)現(xiàn)，由于企業(yè)正在尋求幫助來修復受影響的Windows主機，近期利用這種情況的網(wǎng)絡釣魚電子郵件有所增加。

官方渠道建立溝通

7月21日，CrowdStrike表示，公司“正在積極協(xié)助客戶”解決更新錯誤帶來的影響。公司提醒客戶，確保他們是通過官方渠道與合法代表溝通，因為“對手和不良行為者可能會試圖利用此類事件。"

“我鼓勵每個人保持警惕，并確保你與官方CrowdStrike代表接觸。我們的博客和技術支持將繼續(xù)提供最新更新的官方渠道。”

——CrowdStrike CEO喬治·庫爾茨（George Kurtz）

英國國家網(wǎng)絡安全中心（NCSC）也發(fā)出警告，指出他們觀察到網(wǎng)絡釣魚郵件的數(shù)量有所增加。自動化惡意軟件分析平臺AnyRun注意到“模仿CrowdStrike的嘗試有所增加，這可能會導致網(wǎng)絡釣魚。”

惡意軟件偽裝成修復和更新

7月20日，網(wǎng)絡安全研究人員g0njxa首次報告首次報告了一起針對BBVA銀行客戶的惡意軟件攻擊活動。

這次攻擊活動假冒CrowdStrike修復更新來誘騙用戶下載，而實際安裝一個名為Remcos的遠程訪問木馬（Remote Access Trojan，簡稱RAT）。這個假冒的修補程序是通過一個釣魚網(wǎng)站portalintranetgrupobbva[.] com，它偽裝成西班牙對外銀行的內(nèi)聯(lián)網(wǎng)門戶。

AnyRun也在推特上發(fā)布了類似的活動信息。攻擊者通過一個偽裝的熱修復程序分發(fā)了HijackLoader惡意軟件，該惡意軟件隨后在受感染的系統(tǒng)上釋放了Remcos遠程訪問工具，使得攻擊者能夠遠程控制受影響的計算機。

在另一個警告中，AnyRun表示攻擊者正在分發(fā)一個數(shù)據(jù)擦拭器，聲稱產(chǎn)品提供CrowdStrike的更新。AnyRun提示，“它通過刪除零字節(jié)的文件來破壞系統(tǒng)，然后通過Telegram報告。”

另外，一個叫Handala的黑客組織稱他們在給以色列公司的電子郵件中冒充CrowdStrike分發(fā)數(shù)據(jù)擦拭器。

該組織通過從域名“crowdstrike.com.vc”發(fā)送電子郵件來冒充CrowdStrike，讓客戶創(chuàng)建新工具來使Windows系統(tǒng)重新在線。執(zhí)行假CrowdStrike更新后，數(shù)據(jù)擦除器將被提取到%Temp%下的文件夾中，并啟動從而銷毀存儲在設備上的數(shù)據(jù)。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明