7月19日,CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。
研究人员和政府机构发现,由于企业正在寻求帮助来修复受影响的Windows主机,近期利用这种情况的网络钓鱼电子邮件有所增加。
7月21日,CrowdStrike表示,公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户,确保他们是通过官方渠道与合法代表沟通,因为“对手和不良行为者可能会试图利用此类事件。"
国国家网络安全中心(NCSC)也发出警告,指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加,这可能会导致网络钓鱼。”
7月20日,网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。
这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载,而实际安装一个名为Remcos的远程访问木马(Remote Access Trojan,简称RAT)。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com,它伪装成西班牙对外银行的内联网门户。
![黑客组织正在利用CrowdStrike公司发起恶意攻击]( "黑客组织正在利用CrowdStrike公司发起恶意攻击")
恶意软件加载器伪装CrowdStrike公司的hotfix
AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件,该恶意软件随后在受感染的系统上释放了Remcos远程访问工具,使得攻击者能够远程控制受影响的计算机。
![黑客组织正在利用CrowdStrike公司发起恶意攻击]( "黑客组织正在利用CrowdStrike公司发起恶意攻击")
恶意附件推送数据擦除器 图片来源:BleepingComputer
在另一个警告中,AnyRun表示攻击者正在分发一个数据擦拭器,声称产品提供CrowdStrike的更新。AnyRun提示,“它通过删除零字节的文件来破坏系统,然后通过Telegram报告。”
另外,一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。
该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike,让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后,数据擦除器将被提取到%Temp%下的文件夹中,并启动从而销毁存储在设备上的数据。
尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
|
原文始发于微信公众号(信息安全大事件):黑客组织正在利用CrowdStrike公司发起恶意攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2996288.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
恶意软件加载器伪装CrowdStrike公司的hotfix
恶意附件推送数据擦除器 图片来源:BleepingComputer
评论