导 读
网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断,面临压力。目前,该公司警告称,攻击者正在利用这一情况,以提供修补程序为幌子,向其拉丁美洲客户分发 Remcos RAT。
攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件,其中包含一个名为Hijack Loader(又名 DOILoader 或 IDAT Loader)的恶意软件加载器,然后启动 Remcos RAT 负载。
具体来说,该存档文件还包括一个文本文件(“instrucciones.txt”),其中包含西班牙语说明,敦促目标运行可执行文件(“setup.exe”)来从问题中恢复。
该公司表示:“值得注意的是,ZIP 档案中的西班牙语文件名和说明表明,此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”,并将此次活动归咎于一个疑似电子犯罪组织。
周五,CrowdStrike 承认,在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误,导致了蓝屏死机 (BSoD),令众多系统无法运行,并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。
攻击者迅速利用此次事件造成的混乱,建立冒充 CrowdStrike 的域名抢注网站,并向受此问题影响的公司宣传服务,以换取加密货币支付。
建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通,并遵守 CrowdStrike 支持团队提供的技术指导”。
微软表示,此次数字危机导致全球 850 万台 Windows 设备瘫痪,这占所有 Windows 设备的不到 1%。
此次事件再次凸显了依赖单一供应链的风险,标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。
微软表示:“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们,对于整个技术生态系统中的所有人来说,使用现有机制优先考虑安全部署和灾难恢复是多么重要。”
英国国家网络安全中心 (NCSC) 警告称,旨在利用此次中断的网络钓鱼信息有所增加。
自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加,这可能会导致网络钓鱼”
AnyRun 发现,恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader,该程序会在受感染的系统上投放 Remcos 远程访问工具。
为了诱骗受害者安装恶意软件,攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中,承诺提供来自 CrowdStrike 的修补程序。
恶意软件加载程序伪装成 CrowdStrike 的修补程序
AnyRun 在另一条警告中宣布,攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器:“它通过用零字节覆盖文件来破坏系统,然后通过 #Telegram 报告此事。”
虚假的 CrowdStrike 更新会擦除文件
在另一个例子中,AnyRun 指出,网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。
一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档,其中包含恶意可执行文件 CrowdStrike.exe。
受害企业还要面临的另一种安全威胁
因为目前几乎所有灾难恢复方案需要受害者手动操作,即删除引发蓝屏的 CrowdStrike 驱动程序。
当完成该步骤后, CrowdStrike 软件处于短暂的防守空白期,用户也可能卸载该软件(比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件)。有研究人员认为,完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。
新闻链接:
https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html
https://www.bleepingcomputer.com/news/security/fake-crowdstrike-updates-target-companies-with-malware-data-wipers/
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客利用伪造的无人机合同来感染乌克兰国防企业
https://therecord.media/hackers-fake-drone-contracts-malware-ukraine
亲胡塞组织利用 Android 间谍软件攻击也门援助组织
https://thehackernews.com/2024/07/pro-houthi-group-targets-yemen-aid.html
伊朗APT组织 MuddyWater 近期攻击活动中部署了新的 BugSleep 后门
https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/
网络研究人员称,自去年 10 月 7 日以来,针对以色列组织的攻击“增加了一倍以上”
https://therecord.media/attacks-israeli-orgs-double
朝鲜黑客更新 BeaverTail 恶意软件,以 MacOS 用户为目标
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
一般威胁事件
General Threat Incidents
CrowdStrikeFalcon 更新不当导致全球重大 IT 中断
https://www.pcmag.com/news/massive-microsoft-outage-bricks-computers-halts-flights-worldwide
澳大利亚数字处方服务提供商 MediSecure 遭受勒索软件攻击,1290 万人信息泄露
https://securityaffairs.com/165932/security/medisecure-databreach-12-9m-individuals.html
官员称田纳西州孟菲斯市因网络钓鱼诈骗损失 77.3 万美元
https://www.fox13memphis.com/news/city-of-memphis-lost-773k-in-phishing-scam-officials-say/article_c9836196-4449-11ef-a184-e7ec757b5bc6.html
警报:伪装成广告拦截器的 HotPage 广告软件会安装恶意内核驱动程序
https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html
攻击者将恶意负载隐藏在看似合法的Python 包
https://cybersecuritynews.com/malware-via-jpeg-files/
趋势科技发现 Play 勒索软件组织部署一种针对 ESXi 环境的新 Linux 勒索变种
https://www.trendmicro.com/en_us/research/24/g/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html
船舶经销商 MarineMax 表示,最近勒索软件攻击造成的数据泄露影响了超过 123,000 人
https://www.securityweek.com/marinemax-notifying-123000-of-data-breach-following-ransomware-attack/
专家揭秘“麒麟”勒索软件的复杂攻击手段
https://www.infosecurity-magazine.com/news/qilin-ransomwares-tactics-unveiled/
Revolver Rabbit 团伙注册了 500,000 个域名用于恶意软件活动
https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/
攻击者滥用 URL 保护服务来隐藏电子邮件中的钓鱼链接
https://www.csoonline.com/article/2519035/attackers-abuse-url-protection-services-to-hide-phishing-links-in-emails.html
苹果就 iPhone 网络钓鱼和间谍软件攻击发出新警告
https://etedge-insights.com/technology/cyber-security/apple-issues-new-warning-on-iphone-phishing-and-spyware-attacks/
90% 的网络攻击都是由于人类的弱点而发生的
https://telecomreseller.com/2024/07/17/9-out-of-10-cyberattacks/
Drive-by Download攻击成为 FakeBat 恶意软件的传播媒介
https://securityboulevard.com/2024/07/drive-by-download-attacks-become-distribution-medium-for-fakebat-malware/
漏洞事件
Vulnerability Incidents
美国 CISA 将 Adobe Commerce 和 Magento、SolarWinds Serv-U 以及 VMware vCenter Server 漏洞添加到其已知利用漏洞目录中
https://securityaffairs.com/165981/hacking/u-s-cisa-adds-adobe-commerce-and-magento-solarwinds-serv-u-and-vmware-vcenter-server-bugs-to-its-known-exploited-vulnerabilities-catalog.html
Ivanti 发布针对高危端点管理器漏洞的修补程序
https://www.securityweek.com/ivanti-issues-hotfix-for-high-severity-endpoint-manager-vulnerability/
CISA 警告攻击者正在积极利用三个新漏洞
https://natlawreview.com/article/cisa-warns-three-new-vulnerabilities-actively-exploited-threat-actors
SolarWinds 修补访问权限管理器软件中的 8 个严重缺陷
https://thehackernews.com/2024/07/solarwinds-patches-11-critical-flaws-in.html
Adobe Commerce 漏洞(CVE-2024-34102,CVSS 评分为 9.8)近期遭野外利用
https://www.securityweek.com/recent-adobe-commerce-vulnerability-exploited-in-wild/
SAP AI Core 漏洞允许服务接管、客户数据访问
https://www.securityweek.com/sap-ai-core-vulnerabilities-allowed-service-takeover-customer-data-access/
思科修补安全电子邮件网关 SSM 中的多个严重漏洞
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-in-secure-email-gateway-ssm/
SAP AI Core 漏洞导致客户数据遭受网络攻击
https://thehackernews.com/2024/07/sap-ai-core-vulnerabilities-expose.html
Port Shadow攻击允许 VPN 流量拦截和重定向
https://www.securityweek.com/port-shadow-attack-allows-vpn-traffic-interception-redirection/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):网络犯罪分子利用 CrowdStrike 更新蓝屏事件传播多种恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论