Недавний сбой в обновлении CrowdStrike был использован злоумышленниками, которые с помощью фишинговых писем распространяли программы для очистки данных и инструменты удаленного доступа. Кампания, направленная на клиентов банка BBVA, распространяла Remcos RAT под видом исправления CrowdStrike Hotfix, а проиранская хактивистская группа Handala использовала аналогичную тактику против израильских компаний. Эти атаки, вызванные логической ошибкой в обновлении файла канала, нанесли значительный ущерб миллионам систем Windows в различных отраслях.
AnyRun обнаружила использование проблемы с обновлениями CrowdStrike злоумышленниками, включая фишинговые письма и вредоносные кампании, направленные на организации, использующие средства очистки данных и удаленного доступа. Были замечены фишинговые письма, пытающиеся воспользоваться сбоем в работе: в одной из кампаний, направленных на клиентов банка BBVA, предлагалось поддельное обновление CrowdStrike Hotfix, устанавливающее Remcos RAT. Проиранская хактивистская группа Handala также воспользовалась ситуацией, разослав фишинговые письма, выдающие себя за CrowdStrike, израильским компаниям для распространения чистильщика данных. Кроме того, злоумышленники распространяют чистильщика данных под видом обновления от CrowdStrike, разрушая системы путем перезаписи файлов с нулевым байтом и сообщая об этом в Telegram.
Дефект в обновлении программного обеспечения CrowdStrike оказал масштабное влияние на системы Windows во многих организациях, что сделало эту возможность слишком хорошей для киберпреступников, чтобы упустить ее. Причиной сбоя стало обновление файла канала на хостах Windows, вызвавшее логическую ошибку, которая привела к краху.
Воздействие на системы Windows в многочисленных организациях было значительным: пострадали миллионы устройств, а сбои произошли в различных отраслях.
Indicators of Compromise
Domains
- discussiowardder.website
- wxt82.xyz
URLs
- https://portalintranetgrupobbva.com
SHA256
- 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6
- c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2
- d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea
