Computer Security 诈骗警报!网络犯罪分子利用 CrowdStrike 中断发布包含恶意软件的修复更新

诈骗警报!网络犯罪分子利用 CrowdStrike 中断发布包含恶意软件的修复更新

上周 CrowdStrike 中断之后,网络犯罪分子抓住机会,针对该安全供应商的客户发动了一波社会工程攻击。此次事件扰乱了航空旅行,关闭了商店,影响了医疗设施,随后美国、英国、加拿大和澳大利亚的国家网络安全机构报告称,网络钓鱼活动激增。

BforeAI 首席执行官 Luigi Lenguito 表示,与重大新闻事件之后的典型攻击相比,这些 CrowdStrike 之后的攻击明显更加频繁和有针对性。Lenguito 指出:“在上周针对特朗普的攻击中,我们在第一天就看到 200 起相关网络威胁激增,然后稳定下来,每天 40-50 起。而这次,你看到的峰值是之前的三倍。我们每天看到大约 150 到 300 起攻击,这不是新闻相关攻击的正常数量。”

CrowdStrike 主题骗局简介

这些骗局背后的策略很明显:由于许多大公司用户无法连接到 CrowdStrike 的服务,网络犯罪分子利用了这一漏洞。这些攻击的针对性使它们有别于其他主题骗局,例如与政治事件有关的骗局。受害者通常更精通技术,对网络安全知识更了解。

攻击者一直在冒充 CrowdStrike、相关技术支持,甚至是提供自己“修复”服务的竞争公司。钓鱼和域名抢注域名(例如 crowdstrikefix[.]com、crowdstrikeupdate[.]com 和 www.microsoftcrowdstrike[.]com)已经出现,已发现超过 2,000 个此类域名。

这些域名被用来传播恶意软件,包括一个伪装成修补程序的 ZIP 文件,其中包含 HijackLoader(也称为 IDAT Loader),该文件随后会加载 RemCos RAT。该文件最早在墨西哥被发现,文件名为西班牙语,表明该恶意软件主要针对拉丁美洲的 CrowdStrike 客户。

在另一个案例中,攻击者发送了一封带有设计不良的 PDF 附件的网络钓鱼电子邮件。该 PDF 包含一个下载带有可执行文件的 ZIP 文件的链接。启动时,可执行文件请求安装更新的权限,结果发现这是一个擦除器。亲哈马斯的黑客组织“Handala”声称对此负责,并表示“数十个”以色列组织因此丢失了数 TB 的数据。

防范这些威胁

组织可以通过实施阻止列表、使用保护性 DNS 工具以及确保仅从CrowdStrike 的官方网站和客户服务渠道寻求支持来保护自己。Lenguito 表示,攻击激增仍处于早期阶段,但可能会在未来几周内逐渐减少。“一般来说,这些活动会持续两到三周,”他观察到。

通过保持警惕并依靠经过验证的来源获得技术支持,组织可以减轻这些复杂且有针对性的网络钓鱼攻击带来的风险。

正在加载...