Tehdit aktörleri, CrowdStrike’ın cuma günü yayınladığı hatalı güncellemeden kaynaklanan büyük çaplı iş kesintisini, veri silme ve uzaktan erişim araçlarıyla şirketleri hedef almak için kullanıyor.
İşletmeler etkilenen Windows ana bilgisayarlarını düzeltmek için yardım ararken, araştırmacılar ve devlet kurumları durumdan faydalanmaya çalışan kimlik avı e-postalarında artış tespit etti.
Resmi kanal iletişimi
CrowdStrike, bugün yaptığı açıklamada, dünya çapında milyonlarca Windows ana makinesinin çökmesine neden olan son içerik güncellemesinden etkilenen müşterilere “aktif bir şekilde yardımcı olduklarını” söyledi.
Şirket, müşterilerine resmi kanallar aracılığıyla meşru temsilcilerle iletişim kurduklarından emin olmalarını tavsiye ediyor çünkü “rakipler ve kötü niyetli kişiler bu tür olayları suistimal etmeye çalışabilir.”
“Herkesi uyanık olmaya ve resmi CrowdStrike temsilcileriyle etkileşimde olduğunuzdan emin olmaya teşvik ediyorum. Blogumuz ve teknik desteğimiz en son güncellemeler için resmi kanallar olmaya devam edecek” – George Kurtz, CrowdStrike CEO’su
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) de kesintiden faydalanmayı amaçlayan kimlik avı mesajlarında artış gözlemlendiğini bildirdi.
Otomatik kötü amaçlı yazılım analiz platformu AnyRun, “potansiyel olarak kimlik avına yol açabilecek CrowdStrike’ı taklit etme girişimlerinde artış” olduğunu fark etti [1, 2, 3].
Düzeltmeler ve güncellemeler kisvesi altında gizlenen kötü amaçlı yazılımlar
Siber güvenlik araştırmacısı g0njxa, cumartesi günü ilk kez BBVA banka müşterilerini hedef alan ve Remcos RAT’ı yükleyen sahte bir CrowdStrike Hotfix güncellemesi sunan bir kötü amaçlı yazılım kampanyasını bildirdi.
Sahte düzeltme, bir kimlik avı sitesi olan portalintranetgrupobbva aracılığıyla tanıtıldı[.]BBVA Intranet portalıymış gibi görünen com.
Kötü amaçlı arşivde, çalışanlara ve iş ortaklarına şirketin dahili ağına bağlanırken hatalardan kaçınmak için güncellemeyi yüklemelerini söyleyen talimatlar yer alıyor.
İspanyolca ‘instrucciones.txt’ dosyasında, “Şirketin iç ağında bağlantı ve senkronizasyon hatalarının önlenmesi için zorunlu güncelleme” ifadesi yer alıyor.
Aynı kampanya hakkında tweet atan AnyRun, sahte düzeltmenin HijackLoader’ı gönderdiğini ve bu sayede enfekte olmuş sisteme Remco’nun uzaktan erişim aracının düştüğünü söyledi.
Kaynak: AnyRun
AnyRun, bir diğer uyarısında saldırganların CrowdStrike’tan bir güncelleme gönderme bahanesiyle bir veri silme yazılımı dağıttığını duyurdu.
AnyRun, “Sıfır bayt içeren dosyaların üzerine yazarak sistemi çökertiyor ve ardından bunu #Telegram üzerinden bildiriyor” diyor.
Bu kampanyayı, Twitter’da CrowdStrike’ı taklit ederek veri silme yazılımını İsrailli şirketlere dağıttıklarını belirten İran yanlısı hacktivist grup Handala üstlendi.
Tehdit aktörleri, CrowdStrike’ı taklit ederek, ‘crowdstrike.com.vc’ alan adından e-postalar göndererek müşterilere Windows sistemlerini tekrar çevrimiçi hale getirmek için bir araç oluşturulduğunu söylediler.
E-postalar, BleepingComputer tarafından görülen ve sahte güncellemeyi çalıştırmaya ilişkin daha fazla talimat içeren bir PDF’nin yanı sıra bir dosya barındırma hizmetinden kötü amaçlı bir ZIP arşivini indirmek için bir bağlantı içeriyor. Bu zip dosyası, ‘Crowdstrike.exe’ adlı bir yürütülebilir dosya içeriyor.
Kaynak: BleepingComputer
Sahte CrowdStrike güncellemesi yürütüldüğünde, veri silici %Temp% altındaki bir klasöre çıkarılır ve cihazda depolanan verileri yok etmek için başlatılır.
Milyonlarca Windows ana bilgisayarı çöktü
CrowdStrike’ın yazılım güncellemesindeki kusur, çok sayıda kuruluşun Windows sistemlerini büyük ölçüde etkiledi ve siber suçlular için kaçırılmayacak bir fırsat haline geldi.
Microsoft’a göre hatalı güncelleme “8,5 milyon Windows cihazını, yani tüm Windows makinelerinin yüzde birinden azını etkiledi.”
Hasar 78 dakika içerisinde, 04:09 UTC ile 05:27 UTC arasında meydana geldi.
Etkilenen sistemlerin yüzdesinin düşük olmasına ve CrowdStrike’ın sorunu hızla düzeltme çabalarına rağmen, etki çok büyük oldu.
Bilgisayar çökmeleri binlerce uçuşun iptal edilmesine, finans şirketlerindeki faaliyetlerin aksamasına, hastanelerin, medya kuruluşlarının, demiryollarının çökmesine ve hatta acil servislerin bile etkilenmesine yol açtı.
CrowdStrike, Cumartesi günü yayınladığı bir blog yazısında, kesintinin nedeninin Windows ana bilgisayarlarına (sürüm 7.11 ve üzeri) yapılan bir kanal dosyası (sensör yapılandırması) güncellemesi olduğunu ve bunun bir çökmeye yol açan mantık hatasını tetiklediğini açıkladı.
Çökmelere neden olan kanal dosyası tespit edilmiş ve artık sorun yaratmazken, sistemlerini normal operasyonlara geri yüklemekte hala zorluk çeken şirketler, bireysel ana bilgisayarları, BitLocker Anahtarlarını ve bulut tabanlı ortamları kurtarmak için CrowdStrike’ın talimatlarını izleyebilir.
