威胁行动者试图利用CrowdStrike事件获利

CrowdStrike 发现威胁行动者试图利用网络安全公司因错误更新导致的最近 IT 中断事件来分发 Remcos RAT 恶意软件。这些威胁行动者试图伪装成提供紧急修复方案，向拉丁美洲的网络安全公司客户分发 Remcos RAT。

攻击者试图欺骗公司客户打开名为“crowdstrike-hotfix.zip”的 ZIP 归档文件。该归档文件包含一个名为 Hijack Loader 的加载器，用于执行 Remcos RAT。

HijackLoader 被宣传为一个名为 ASMCrypt 的私人加密服务，它是一个模块化、多阶段的加载器，旨在逃避检测。

“CrowdStrike Intelligence 已观察到威胁行动者利用这一事件分发名为 crowdstrike-hotfix.zip 的恶意 ZIP 归档文件。该 ZIP 归档文件包含一个 HijackLoader 有效载荷，当执行时，会加载 RemCos。值得注意的是，ZIP 归档文件中的西班牙语文件名和说明表明，此次攻击活动很可能针对拉丁美洲（LATAM）的 CrowdStrike 客户。”卡巴斯基发布的报告中写道。

2024 年 7 月 19 日，一名墨西哥用户将一个名为 crowdstrike-hotfix.zip 的 ZIP 文件上传到在线恶意软件扫描服务。归档文件中的一个文件（“instrucciones.txt”）用西班牙语编写，假装提供受错误更新影响的系统的恢复说明。它指示收件人运行 Setup.exe 文件以启动虚假的修复程序。

这是首次报道的试图利用 Crowdstrike 事件获利的攻击案例。

在内容更新问题之后，威胁行动者还设置了多个拼写错误的域名来冒充 CrowdStrike。这些域名被用来向受影响的公司发布服务广告，并要求以加密货币支付。

网络安全公司建议各组织确保他们通过官方渠道与 CrowdStrike 代表进行沟通，并遵循公司支持团队提供的技术指导中的说明。

该公司还提供了分发 Remcos RAT 恶意软件的攻击活动的妥协指标（IOCs）。

原文始发于微信公众号（黑猫安全）：威胁行动者试图利用CrowdStrike事件获利