Хакеры начали использовать хаос из-за CrowdStrike для распространения вредоноса Crowdstrike-hotfix.zip

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.089
Репутация
10.058
Реакции
15.300
RUB
1.045
Сделок через гаранта
18
После масштабного сбоя в работе организаций по всему миру 18 июля из-за проблемного обновления Falcon Sensor для Windows от компании кибербезопасности CrowdStrike киберпреступники пытаются воспользоваться ситуацией. Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2).

bleepingcomputer.com


Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).

Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.

За считанные дни для проведения фишинговых кампаний были созданы следующие домены:

Crowdstrike.phpartners[.]org, Crowdstrike0day[.]com, Crowdstrikebluescreen[.]com, Crowdstrike-bsod[.]com, Crowdstrikeupdate[.]com, Crowdstrikebsod[.]com, www.crowdstrike0day[.]com, [. ]com, crowdstrikeoutage[.]info, www.microsoftcrowdstrike[.]com, crowdstrikeodayl[.]com, crowdstrike[.]buzz, www.crowdstriketoken[.]com, www.crowdstrikefix[.]com, fix-crowdstrike-apocalypse[.]com, microsoftcrowdstrike[. ]com, Crowdstrikedoomsday[.]com, Crowdstrikedown[.]com, Whatiscrowdstrike[.]com, Crowdstrike-HelpDesk[.]com, Crowdstrikefix[.]com, Fix-Crowdstrike-BSOD[.]com, Crowdstrikedown[.]site, Crowdstuck[.]org, Crowdfalcon- immed-update[.]com, Crowdstriketoken[.]com, Crowdstrikeclaim[.]com, Crowdstrikeblueteam[.]com, Crowdstrikefix[.]zip, Crowdstrikereport[.]com.

Компания кибербезопасности AnyRun также сообщила, что злоумышленники распространяют очиститель данных под предлогом доставки обновления от CrowdStrike: «Он уничтожает систему, перезаписывая файлы с нулевыми байтами, а затем сообщает об этом через Telegram». Ответственность за эту кампанию взяла на себя проиранская хактивистская группа Handala. Злоумышленники выдавали себя за CrowdStrike, отправляя электронные письма с домена «crowdstrike.com.vc» и сообщая клиентам, что появился инструмент для возобновления работы систем Windows. Письма содержали PDF-файл с инструкциями по запуску поддельного обновления, а также ссылку для загрузки вредоносного ZIP-архива с файлового хостинга. Этот zip-файл включает исполняемый файл с именем Crowdstrike.exe. После выполнения скрипта программа очистки данных извлекается в папку %Temp% и запускается для уничтожения информации на устройстве.

bleepingcomputer.com


 
  • Теги
    it-инфраструктура информационная безопасность системное администрирование
  • Сверху Снизу