长亭百川云 - 文章详情

警惕!黑客组织正在假冒CrowdStrike公司进行恶意攻击

CNCERT国家工程研究中心

51

2024-07-25

7月19日,CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。

研究人员和政府机构发现,由于企业正在寻求帮助来修复受影响的Windows主机,近期利用这种情况的网络钓鱼电子邮件有所增加。

1、官方渠道建立沟通

========================

7月21日,CrowdStrike表示,公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户,确保他们是通过官方渠道与合法代表沟通,因为“对手和不良行为者可能会试图利用此类事件。"

“我鼓励每个人保持警惕,并确保你与官方CrowdStrike代表接触。我们的博客和技术支持将继续提供最新更新的官方渠道。”

——CrowdStrike CEO乔治·库尔茨(George Kurtz)英国国家网络安全中心(NCSC)也发出警告,指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加,这可能会导致网络钓鱼。”

2、恶意软件伪装成修复和更新

===============================

7月20日,网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。

这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载,而实际安装一个名为Remcos的远程访问木马(Remote Access Trojan,简称RAT)。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com,它伪装成西班牙对外银行的内联网门户。

恶意软件加载器伪装CrowdStrike公司的hotfix

AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件,该恶意软件随后在受感染的系统上释放了Remcos远程访问工具,使得攻击者能够远程控制受影响的计算机。

恶意附件推送数据擦除器

图片来源:BleepingComputer

在另一个警告中,AnyRun表示攻击者正在分发一个数据擦拭器,声称产品提供CrowdStrike的更新。AnyRun提示,“它通过删除零字节的文件来破坏系统,然后通过Telegram报告。”

另外,一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。

该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike,让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后,数据擦除器将被提取到%Temp%下的文件夹中,并启动从而销毁存储在设备上的数据。

原文来源:E安全

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2