Siber güvenlik uzmanları, 19 Temmuz 2024’te Windows sistemlerini etkileyen son CrowdStrike Falcon sensör sorununun ardından endişe verici bir gelişmeyi ortaya çıkardı. Tehdit aktörleri artık bu olayı çeşitli kötü amaçlı faaliyetler yoluyla CrowdStrike müşterilerini hedef almak için aktif olarak kullanıyor.
Orijinal sorun, Windows ana bilgisayarlarındaki CrowdStrike Falcon sensörü için yapılan bir içerik güncellemesinden kaynaklanmıştı; bu güncelleme, etkilenen makinelerde sistem çökmelerine ve mavi ekranlara neden oluyordu.
CrowdStrike sorunu hızla tespit edip, izole edip, bir çözüm yolu geliştirirken, fırsatçı bilgisayar korsanları bu durumdan yararlanarak yeni saldırılar başlattı.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
CrowdStrike Intelligence, bu kötü niyetli aktörlerin çeşitli taktikler kullandığını bildirdi:
- Kimlik avı kampanyaları: Siber suçlular, CrowdStrike desteği gibi görünen sahte e-postalar göndererek müşterileri hassas bilgilerini ifşa etmeye veya yetkisiz erişim sağlamaya kandırmaya çalışıyor.
- Sosyal mühendislik: Telefon görüşmeleri sırasında tehdit aktörlerinin CrowdStrike personelini taklit ederek, kurbanları güvenliklerini tehlikeye atmaya yönlendirmeyi amaçladıkları durumlar yaşandı.
- Dezenformasyon: Bazı saldırganlar kendilerini bağımsız araştırmacılar olarak tanıtıyor, teknik sorunu bir siber saldırıya bağlayan kanıtlara sahip olduklarını iddia ediyor ve şüpheli çözüm önerileri sunuyor.
- Kötü amaçlı yazılım dağıtımı: Suçlular, içerik güncelleme sorunundan kurtarmayı otomatikleştirdiği iddia edilen komut dosyaları satmaya çalışıyor; ancak bu komut dosyaları kötü amaçlı yazılımlar sunabilir veya yeni güvenlik açıkları oluşturabilir.
Bu kötü niyetli faaliyetleri desteklemek için 19 Temmuz 2024’te CrowdStrike markasını taklit eden çok sayıda alan adı tespit edildi.
crowdstrike.phpartners[.]org
crowdstrike0day[.]com
crowdstrikebluescreen[.]com
crowdstrike-bsod[.]com
crowdstrikeupdate[.]com
crowdstrikebsod[.]com
www.crowdstrike0day[.]com
www.fix-crowdstrike-bsod[.]com
crowdstrikeoutage[.]info
www.microsoftcrowdstrike[.]com
crowdstrikeodayl[.]com
crowdstrike[.]buzz
www.crowdstriketoken[.]com
www.crowdstrikefix[.]com
fix-crowdstrike-apocalypse[.]com
microsoftcrowdstrike[.]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]com
whatiscrowdstrike[.]com
crowdstrike-helpdesk[.]com
crowdstrikefix[.]com
fix-crowdstrike-bsod[.]com
crowdstrikedown[.]site
crowdstuck[.]org
crowdfalcon-immed-update[.]com
crowdstriketoken[.]com
crowdstrikeclaim[.]com
crowdstrikeblueteam[.]com
crowdstrikefix[.]zip
crowdstrikereport[.]com
Bu alan adlarından bazıları şu anda kötü amaçlı içerik barındırmıyor olabilir ancak gelecekte sosyal mühendislik operasyonlarında kullanılabilir.
Bu yeni ortaya çıkan tehditlere yanıt olarak CrowdStrike Intelligence, kuruluşlara şunları şiddetle tavsiye ediyor:
- İletişim kanallarını doğrulayın: CrowdStrike temsilcileriyle olan tüm etkileşimlerin resmi, doğrulanmış kanallar aracılığıyla gerçekleştiğinden emin olun.
- Resmi talimatları izleyin: CrowdStrike destek ekiplerinin sağladığı teknik rehberliğe kesinlikle uyun.
- Dikkatli olun: Son olayla ilgili istenmeyen iletişimlere, özellikle hassas bilgiler talep eden veya hızlı çözüm önerileri sunanlara karşı dikkatli olun.
- Çalışanları eğitin: Personelinizi bu yeni tehditler hakkında bilgilendirin ve şüpheli faaliyetleri belirleme ve bildirme konusunda en iyi uygulamaları güçlendirin.
Orijinal CrowdStrike sorununun bir güvenlik olayı veya siber saldırı olmadığını, bunun yerine Windows ana bilgisayarları için bir içerik güncellemesindeki teknik bir kusur olduğunu belirtmek önemlidir. Mac ve Linux sistemleri bu sorundan etkilenmedi.
Durum geliştikçe, kuruluşların resmi CrowdStrike kanalları aracılığıyla bilgi sahibi olmaları ve bu fırsatçı saldırılara karşı korunmak için güçlü güvenlik önlemleri uygulamaları önerilir.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.