7月19日，CrowdStrike的故障更新造成了大規模業務中斷。威脅行為者正在使用數據清除工具和遠程訪問工具并假冒CrowdStrike。

研究人員和政府機構發現，由于企業正在尋求幫助來修復受影響的Windows主機，近期利用這種情況的網絡釣魚電子郵件有所增加。

官方渠道建立溝通

7月21日，CrowdStrike表示，公司“正在積極協助客戶”解決更新錯誤帶來的影響。公司提醒客戶，確保他們是通過官方渠道與合法代表溝通，因為“對手和不良行為者可能會試圖利用此類事件。"

“我鼓勵每個人保持警惕，并確保你與官方CrowdStrike代表接觸。我們的博客和技術支持將繼續提供最新更新的官方渠道。”

——CrowdStrike CEO喬治·庫爾茨（George Kurtz）

英國國家網絡安全中心（NCSC）也發出警告，指出他們觀察到網絡釣魚郵件的數量有所增加。自動化惡意軟件分析平臺AnyRun注意到“模仿CrowdStrike的嘗試有所增加，這可能會導致網絡釣魚。”

惡意軟件偽裝成修復和更新

7月20日，網絡安全研究人員g0njxa首次報告首次報告了一起針對BBVA銀行客戶的惡意軟件攻擊活動。

這次攻擊活動假冒CrowdStrike修復更新來誘騙用戶下載，而實際安裝一個名為Remcos的遠程訪問木馬（Remote Access Trojan，簡稱RAT）。這個假冒的修補程序是通過一個釣魚網站portalintranetgrupobbva[.] com，它偽裝成西班牙對外銀行的內聯網門戶。

AnyRun也在推特上發布了類似的活動信息。攻擊者通過一個偽裝的熱修復程序分發了HijackLoader惡意軟件，該惡意軟件隨后在受感染的系統上釋放了Remcos遠程訪問工具，使得攻擊者能夠遠程控制受影響的計算機。

在另一個警告中，AnyRun表示攻擊者正在分發一個數據擦拭器，聲稱產品提供CrowdStrike的更新。AnyRun提示，“它通過刪除零字節的文件來破壞系統，然后通過Telegram報告。”

另外，一個叫Handala的黑客組織稱他們在給以色列公司的電子郵件中冒充CrowdStrike分發數據擦拭器。

該組織通過從域名“crowdstrike.com.vc”發送電子郵件來冒充CrowdStrike，讓客戶創建新工具來使Windows系統重新在線。執行假CrowdStrike更新后，數據擦除器將被提取到%Temp%下的文件夾中，并啟動從而銷毀存儲在設備上的數據。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明