vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
После масштабного сбоя в работе организаций по всему миру 18 июля из-за проблемного обновления Falcon Sensor для Windows от компании кибербезопасности CrowdStrike киберпреступники пытаются воспользоваться ситуацией. Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2).
Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).
Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.
За считанные дни для проведения фишинговых кампаний были созданы следующие домены:
Crowdstrike.phpartners[.]org, Crowdstrike0day[.]com, Crowdstrikebluescreen[.]com, Crowdstrike-bsod[.]com, Crowdstrikeupdate[.]com, Crowdstrikebsod[.]com, www.crowdstrike0day[.]com, [. ]com, crowdstrikeoutage[.]info, www.microsoftcrowdstrike[.]com, crowdstrikeodayl[.]com, crowdstrike[.]buzz, www.crowdstriketoken[.]com, www.crowdstrikefix[.]com, fix-crowdstrike-apocalypse[.]com, microsoftcrowdstrike[. ]com, Crowdstrikedoomsday[.]com, Crowdstrikedown[.]com, Whatiscrowdstrike[.]com, Crowdstrike-HelpDesk[.]com, Crowdstrikefix[.]com, Fix-Crowdstrike-BSOD[.]com, Crowdstrikedown[.]site, Crowdstuck[.]org, Crowdfalcon- immed-update[.]com, Crowdstriketoken[.]com, Crowdstrikeclaim[.]com, Crowdstrikeblueteam[.]com, Crowdstrikefix[.]zip, Crowdstrikereport[.]com.
Компания кибербезопасности AnyRun также сообщила, что злоумышленники распространяют очиститель данных под предлогом доставки обновления от CrowdStrike: «Он уничтожает систему, перезаписывая файлы с нулевыми байтами, а затем сообщает об этом через Telegram». Ответственность за эту кампанию взяла на себя проиранская хактивистская группа Handala. Злоумышленники выдавали себя за CrowdStrike, отправляя электронные письма с домена «crowdstrike.com.vc» и сообщая клиентам, что появился инструмент для возобновления работы систем Windows. Письма содержали PDF-файл с инструкциями по запуску поддельного обновления, а также ссылку для загрузки вредоносного ZIP-архива с файлового хостинга. Этот zip-файл включает исполняемый файл с именем Crowdstrike.exe. После выполнения скрипта программа очистки данных извлекается в папку %Temp% и запускается для уничтожения информации на устройстве.
Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).
Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.
За считанные дни для проведения фишинговых кампаний были созданы следующие домены:
Crowdstrike.phpartners[.]org, Crowdstrike0day[.]com, Crowdstrikebluescreen[.]com, Crowdstrike-bsod[.]com, Crowdstrikeupdate[.]com, Crowdstrikebsod[.]com, www.crowdstrike0day[.]com, [. ]com, crowdstrikeoutage[.]info, www.microsoftcrowdstrike[.]com, crowdstrikeodayl[.]com, crowdstrike[.]buzz, www.crowdstriketoken[.]com, www.crowdstrikefix[.]com, fix-crowdstrike-apocalypse[.]com, microsoftcrowdstrike[. ]com, Crowdstrikedoomsday[.]com, Crowdstrikedown[.]com, Whatiscrowdstrike[.]com, Crowdstrike-HelpDesk[.]com, Crowdstrikefix[.]com, Fix-Crowdstrike-BSOD[.]com, Crowdstrikedown[.]site, Crowdstuck[.]org, Crowdfalcon- immed-update[.]com, Crowdstriketoken[.]com, Crowdstrikeclaim[.]com, Crowdstrikeblueteam[.]com, Crowdstrikefix[.]zip, Crowdstrikereport[.]com.
Компания кибербезопасности AnyRun также сообщила, что злоумышленники распространяют очиститель данных под предлогом доставки обновления от CrowdStrike: «Он уничтожает систему, перезаписывая файлы с нулевыми байтами, а затем сообщает об этом через Telegram». Ответственность за эту кампанию взяла на себя проиранская хактивистская группа Handala. Злоумышленники выдавали себя за CrowdStrike, отправляя электронные письма с домена «crowdstrike.com.vc» и сообщая клиентам, что появился инструмент для возобновления работы систем Windows. Письма содержали PDF-файл с инструкциями по запуску поддельного обновления, а также ссылку для загрузки вредоносного ZIP-архива с файлового хостинга. Этот zip-файл включает исполняемый файл с именем Crowdstrike.exe. После выполнения скрипта программа очистки данных извлекается в папку %Temp% и запускается для уничтожения информации на устройстве.
