警惕伪装成CrowdStrike修复方法相关的钓鱼活动

背景

继上周CrowdStrike的“驱动文件”被windows意外载入系统并造成堆栈冲突从而蓝屏死机开始，影响范围不断扩大，上到美国航天局，民航局，下到电影摄影组，医院等等。只要使用windows域控解决方案的企业，并在主控端有CS终端的机器，基本都受影响。在各大“IT专家”着急修复系统死机问题的同时，各大大小小的威胁组织也在伺机发起攻击。上周五我们发现在“暗网”上已有威胁组织公开收集使用CrowdStrike的企业清单和邮箱清单，周六，山石网科情报中心，通过遥测发现针对客户的钓鱼邮件已经开始大批量投递。

活动

本次捕获到伪装成CS更新补丁的邮件如下，文件HASH：

22e9135a650cd674eb330cbb4a7329c3

当用户点击伪造的合法链接，将会从控制端下载回来一个ZIP包66fbe2b33e545062a1399a4962b9af4fbbd4b356，包含假的CS升级应用程序，并经过层层隐藏调用释放WIPER工具。

并且，从样本的一些硬编码特征来看，可能和勒索威胁组织Handala Hack有关。(https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor/)

同时，通过山石网科DNS安全情报，遥测发现疑似伪装成合法的还未使用的域名：

crowdstrike.phpartners[.]org

crowdstrike0day[.]com

crowdstrikebluescreen[.]com

crowdstrike-bsod[.]com

crowdstrikeupdate[.]com

crowdstrikebsod[.]com

www.crowdstrike0day\[.\]com

www.fix-crowdstrike-bsod\[.\]com

crowdstrikeoutage[.]info

www.microsoftcrowdstrike\[.\]com

crowdstrikeodayl[.]com

crowdstrike[.]buzz

www.crowdstriketoken\[.\]com

www.crowdstrikefix\[.\]com

fix-crowdstrike-apocalypse[.]com

microsoftcrowdstrike[.]com

crowdstrikedoomsday[.]com

crowdstrikedown[.]com

whatiscrowdstrike[.]com

crowdstrike-helpdesk[.]com

crowdstrikefix[.]com

fix-crowdstrike-bsod[.]com

crowdstrikedown[.]site

crowdstuck[.]org

crowdfalcon-immed-update[.]com

crowdstriketoken[.]com

crowdstrikeclaim[.]com

crowdstrikeblueteam[.]com

crowdstrikefix[.]zip

crowdstrikereport[.]com

关于山石网科情报中心

山石网科情报中心，涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心，团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家，多学科融合确保全面的威胁分析。我们积极创新，采用新工具和技术提升分析效率。团队协同合作，分享信息与见解，追求卓越，为客户保驾护航。无论是防范未来威胁还是应对当下攻击，我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统，是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。