背景
继上周CrowdStrike的“驱动文件”被windows意外载入系统并造成堆栈冲突从而蓝屏死机开始,影响范围不断扩大,上到美国航天局,民航局,下到电影摄影组,医院等等。只要使用windows域控解决方案的企业,并在主控端有CS终端的机器,基本都受影响。在各大“IT专家”着急修复系统死机问题的同时,各大大小小的威胁组织也在伺机发起攻击。上周五我们发现在“暗网”上已有威胁组织公开收集使用CrowdStrike的企业清单和邮箱清单,周六,山石网科情报中心,通过遥测发现针对客户的钓鱼邮件已经开始大批量投递。
活动
本次捕获到伪装成CS更新补丁的邮件如下,文件HASH:
22e9135a650cd674eb330cbb4a7329c3
当用户点击伪造的合法链接,将会从控制端下载回来一个ZIP包66fbe2b33e545062a1399a4962b9af4fbbd4b356,包含假的CS升级应用程序,并经过层层隐藏调用释放WIPER工具。
并且,从样本的一些硬编码特征来看,可能和勒索威胁组织Handala Hack有关。(https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor/)
同时,通过山石网科DNS安全情报,遥测发现疑似伪装成合法的还未使用的域名:
crowdstrike.phpartners[.]org
crowdstrike0day[.]com
crowdstrikebluescreen[.]com
crowdstrike-bsod[.]com
crowdstrikeupdate[.]com
crowdstrikebsod[.]com
www.fix-crowdstrike-bsod\[.\]com
crowdstrikeoutage[.]info
www.microsoftcrowdstrike\[.\]com
crowdstrikeodayl[.]com
crowdstrike[.]buzz
fix-crowdstrike-apocalypse[.]com
microsoftcrowdstrike[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]com
whatiscrowdstrike[.]com
crowdstrike-helpdesk[.]com
crowdstrikefix[.]com
fix-crowdstrike-bsod[.]com
crowdstrikedown[.]site
crowdstuck[.]org
crowdfalcon-immed-update[.]com
crowdstriketoken[.]com
crowdstrikeclaim[.]com
crowdstrikeblueteam[.]com
crowdstrikefix[.]zip
crowdstrikereport[.]com
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。