詐騙警報!網路犯罪分子利用包含惡意軟體的修復更新來利用 CrowdStrike 中斷
上週 CrowdStrike 宕機後,網路犯罪分子抓住機會針對安全供應商的客戶發動了一波社會工程攻擊。這起事件擾亂了航空旅行、關閉了商店並影響了醫療設施,隨後美國、英國、加拿大和澳洲的國家網路安全機構報告網路釣魚活動激增。
BforeAI 執行長 Luigi Lenguito 表示,與重大新聞事件後發生的典型攻擊相比,這些 CrowdStrike 後的攻擊明顯更加頻繁且更有針對性。 Lenguito 指出:“在上週針對川普的攻擊中,我們發現相關網路威脅在第一天激增 200 個,隨後降至每天 40-50 個。” 「在這裡,你會看到一個三倍大的峰值。我們每天看到大約 150 到 300 次攻擊,這不是新聞相關攻擊的正常數量。”
以 CrowdStrike 為主題的詐騙簡介
這些詐騙背後的策略很明確:由於許多大公司的用戶無法連接到 CrowdStrike 的服務,網路犯罪分子利用了此漏洞。這些攻擊的針對性使它們有別於其他主題的詐騙,例如與政治事件相關的詐騙。受害者往往技術更純熟,對網路安全也更了解。
攻擊者一直在冒充 CrowdStrike、相關技術支持,甚至是競爭公司提供自己的「修復程序」。諸如crowdstrikefix[.]com、crowdstrikeupdate[.]com 和www.microsoftcrowdstrike[.]com 等網路釣魚和誤植網域已出現,已識別的此類網域超過 2,000 個。
這些網域被用來分發惡意軟體,包括一個冒充修補程式的 ZIP 文件,其中包含 HijackLoader(也稱為 IDAT Loader),該檔案隨後會載入 RemCos RAT。該文件首先由墨西哥報告,其中包含西班牙語文件名,表明該文件主要針對拉丁美洲的 CrowdStrike 客戶。
在另一個例子中,攻擊者發送了一封帶有設計不良的 PDF 附件的網路釣魚電子郵件。該 PDF 包含一個下載帶有可執行檔的 ZIP 檔案的連結。啟動後,可執行檔請求安裝更新的權限,結果發現這是一個擦除器。支持哈馬斯的駭客組織「Handala」聲稱對此負責,並表示「數十個」以色列組織因此丟失了數TB的資料。
防範這些威脅
組織可以透過實施封鎖清單、使用保護性 DNS 工具並確保僅從CrowdStrike 的官方網站和客戶服務管道尋求支援來保護自己。 Lenguito 表示,攻擊激增仍處於早期階段,但可能在未來幾週內逐漸減少。 「一般來說,這些活動會持續兩到三週,」他觀察到。
透過保持警惕並依靠經過驗證的技術支援來源,組織可以減輕這些複雜且有針對性的網路釣魚攻擊所帶來的風險。