Computer Security 사기 경고! 사이버 범죄자들은 맬웨어가 포함된 수정 업데이트를 통해 CrowdStrike 중단을 악용합니다.

사기 경고! 사이버 범죄자들은 맬웨어가 포함된 수정 업데이트를 통해 CrowdStrike 중단을 악용합니다.

지난주의 CrowdStrike 중단 이후 사이버 범죄자들은 보안 공급업체의 고객을 겨냥한 일련의 사회 공학 공격을 시작할 기회를 잡았습니다. 항공 여행에 지장을 주고, 매장을 폐쇄하고, 의료 시설에 영향을 준 이 사건으로 인해 미국, 영국, 캐나다 및 호주의 국가 사이버 보안 기관에서 보고한 피싱 활동이 급증했습니다.

BforeAI의 CEO인 Luigi Lenguito에 따르면 이러한 CrowdStrike 이후 공격은 주요 뉴스 사건 이후에 발생하는 일반적인 공격에 비해 훨씬 더 많이 발생하고 표적화됩니다. Lenguito는 "지난주 트럼프 공격에서는 관련 사이버 위협이 첫날 200건으로 급증한 다음 하루 40~50건으로 줄어들었다"고 말했습니다. "여기서 3배나 큰 급증을 보고 있습니다. 하루에 약 150~300건의 공격이 발생하고 있는데 이는 뉴스 관련 공격의 일반적인 양이 아닙니다."

CrowdStrike 테마 사기 프로필

이러한 사기의 전략은 분명합니다. 많은 대기업 사용자가 CrowdStrike 서비스에 연결할 수 없는 상황에서 사이버 범죄자는 이 취약점을 악용합니다. 이러한 공격은 표적화된 성격으로 인해 정치적 사건과 관련된 다른 주제의 사기와 구별됩니다. 피해자는 사이버 보안에 대해 기술적으로 더 능숙하고 지식이 풍부한 경우가 많습니다.

공격자들은 CrowdStrike, 관련 기술 지원 또는 자체 "수정 사항"을 제공하는 경쟁 회사를 사칭해 왔습니다. Crowdstrikefix[.]com, Crowdstrikeupdate[.]com 및 www.microsoftcrowdstrike[.]com과 같은 피싱 및 타이포스쿼팅 도메인이 등장했으며 이러한 도메인이 2,000개 이상 확인되었습니다.

이러한 도메인은 나중에 RemCos RAT를 로드하는 HijackLoader(IDAT 로더라고도 함)가 포함된 핫픽스로 위장한 ZIP 파일을 포함하여 맬웨어를 배포하는 데 사용됩니다. 이 파일은 멕시코에서 처음 보고되었으며 스페인어 파일 이름이 포함되어 있어 라틴 아메리카의 CrowdStrike 고객에 초점을 맞추고 있음을 시사합니다.

또 다른 예로, 공격자는 잘못 설계된 PDF 첨부 파일이 포함된 피싱 이메일을 보냈습니다. PDF에는 실행 파일이 포함된 ZIP 파일을 다운로드할 수 있는 링크가 포함되어 있습니다. 실행 파일이 실행되면 업데이트 설치 권한을 요청했는데 이는 와이퍼로 판명되었습니다. 친하마스 핵티비스트 그룹인 "Handala"는 그 결과 "수십"개의 이스라엘 조직이 수 테라바이트의 데이터를 손실했다고 말하면서 책임을 주장했습니다.

이러한 위협으로부터 보호

조직은 차단 목록을 구현하고, 보호 DNS 도구를 사용하고, CrowdStrike의 공식 웹사이트와 고객 서비스 채널에서만 지원을 받도록 하여 스스로를 보호할 수 있습니다. Lenguito는 공격 급증이 아직 초기 단계이지만 앞으로 몇 주 동안 줄어들 가능성이 높다고 제안합니다. "일반적으로 이러한 캠페인은 2~3주 동안 지속됩니다."라고 그는 관찰했습니다.

조직은 경계심을 늦추지 않고 기술 지원을 위해 검증된 소스에 의존함으로써 이러한 정교하고 표적화된 피싱 공격으로 인한 위험을 완화할 수 있습니다.

로드 중...