19 Temmuz 2024’te CrowdStrike, Falcon sensörü için bir içerik güncellemesinde Windows işletim sistemlerini etkileyen bir sorun tespit etti. Bir düzeltme derhal dağıtıldı.
Tehdit aktörleri artık bu olayı çeşitli kötü amaçlı faaliyetler yoluyla CrowdStrike müşterilerini hedef almak için aktif olarak kullanıyorlar. Bunlar arasında telefon görüşmelerinde CrowdStrike personelini taklit ederek müşterilere CrowdStrike desteği gibi görünen kimlik avı e-postaları göndermek ve daha fazlası yer alıyor.
Ancak tehdit aktörleri bu olayı, Latin Amerika merkezli (LATAM) CrowdStrike müşterilerinin Windows sistemlerini hedef alan kötü amaçlı dosyaları dağıtmak için de kullandı.
Kötü amaçlı bir ZIP arşivi adı crowdstrike-hotfix.zip Meksika merkezli bir gönderici tarafından çevrimiçi bir kötü amaçlı yazılım tarama servisine yüklendi.
Bu arşiv şunları içerir: Kaçırma Yükleyici yürütüldüğünde yüklenen yük RemCosZIP arşivindeki İspanyolca dosya adları ve talimatlar, LATAM müşterilerine yönelik hedefli bir kampanya olduğunu gösteriyor.
Crowdstrike raporuna göre, bu kampanya, bir tehdit aktörünün LATAM merkezli CrowdStrike müşterilerini hedef alan kötü amaçlı dosyaları dağıtmak için Falcon içerik sorunundan yararlandığına dair gözlemlenen ilk örnek.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Teknik Arıza:
ZIP arşivi (SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2) İspanyolca talimatlar içeriyor ve içerik güncelleme sorununu düzeltmek için bir yardımcı program gibi görünüyor.
Kullanıcıların çalıştırması istenir Setup.exe (SHA256: 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9), yükler Kaçırma Yükleyici DLL arama sırası kaçırma yoluyla.
Kaçırma Yükleyici tespit edilmekten kaçınmak için tasarlanmış modüler bir yükleyicidir ve adlı bir yapılandırma dosyası kullanır maidenhair.cfg (SHA256: 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6) sonuncuyu uygulamak RemCos yük.
RemCos yükü bir komuta ve kontrol (C2) sunucusuyla iletişim kurar 213.5.130[.]58[:]433.
CrowdStrike ayrıca markasını taklit eden birkaç yazım hatası yapan alan adı tespit etti. Bu olay, bir tehdit aktörünün kötü amaçlı dosyaları dağıtmak için Falcon içerik sorununu kullandığına dair ilk gözlemlenen örnektir.
crowdstrike.phpartners[.]org
crowdstrike0day[.]com
crowdstrikebluescreen[.]com
crowdstrike-bsod[.]com
crowdstrikeupdate[.]com
crowdstrikebsod[.]com
www.crowdstrike0day[.]com
www.fix-crowdstrike-bsod[.]com
crowdstrikeoutage[.]info
www.microsoftcrowdstrike[.]com
crowdstrikeodayl[.]com
crowdstrike[.]buzz
www.crowdstriketoken[.]com
www.crowdstrikefix[.]com
fix-crowdstrike-apocalypse[.]com
microsoftcrowdstrike[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]com
whatiscrowdstrike[.]com
crowdstrike-helpdesk[.]com
crowdstrikefix[.]com
fix-crowdstrike-bsod[.]com
crowdstrikedown[.]site
crowdstuck[.]org
crowdfalcon-immed-update[.]com
crowdstriketoken[.]com
crowdstrikeclaim[.]com
crowdstrikeblueteam[.]com
crowdstrikefix[.]zip
crowdstrikereport[.]comKuruluşların CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurmaları ve CrowdStrike destek ekiplerinin sağladığı teknik talimatları takip etmeleri önerilir.
CrowdStrike, Windows ana bilgisayarlarını etkileyen bir Falcon içerik güncellemesindeki bir kusurdan kaynaklanan kesinti için özür diledi ve bunun bir siber saldırı olmadığını açıkladı. Sorun çözüldü ve müşteri sistemleri geri yükleniyor.” CrowdStrike Kurucusu ve CEO’su George Kurtz şöyle dedi.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
Tehlikenin Tespiti ve Göstergeleri (IOC’ler):
CrowdStrike, açıklanan aktiviteyi tespit etmek için bir Falcon LogScale sorgusu sağladı:
// Hunting query for indicators (CSA-240835)
case { in("SHA256HashData", values=["931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6", "c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2", "48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184", "d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea"]); in("RemoteAddressIP4", values=["213.5.130.58"]) } | table([cid, aid, #event_simpleName, ComputerName])Anahtar IOC’ler:
| Dosya adı | SHA256 Karma |
|---|---|
| kalabalık grevi-düzeltmesi.zip | c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2 |
| Kurulum.exe | 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9 |
| deliBasic_.bpl | d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea |
| kızlık saçı.cfg | 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6 |
| RemCos Yükü | 48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184 |
| RemCos C2 Adresi | 213.5.130[.]58[:]443 |