【安全资讯】威胁行为者试图利用CrowdStrike事件

安恒恒脑 2024-07-22 06:57:59 314人浏览

概要:

CrowdStrike警告称,威胁行为者正在利用其最近因故障更新导致的IT中断事件,分发Remcos RAT恶意软件。此次事件主要针对拉丁美洲的CrowdStrike客户,攻击者伪装成提供紧急修复程序,试图诱骗用户下载并执行恶意软件。

主要内容:

CrowdStrike发现,威胁行为者试图利用其因故障更新导致的IT中断事件,向拉丁美洲的客户分发Remcos RAT恶意软件。攻击者伪装成提供紧急修复程序,诱骗用户打开名为“crowdstrike-hotfix.zip”的ZIP档案。该档案包含一个名为Hijack Loader的加载器,用于执行Remcos RAT。

HijackLoader被宣传为一种名为ASMCrypt的私有加密服务,是一种模块化、多阶段加载器,设计用于规避检测。CrowdStrike情报部门观察到,威胁行为者利用此次事件分发恶意ZIP档案,档案内的文件名和说明均为西班牙语,表明此次攻击主要针对拉丁美洲的CrowdStrike客户。

2024年7月19日,一名来自墨西哥的用户将名为crowdstrike-hotfix.zip的ZIP文件上传到在线恶意软件扫描服务。档案中的“instrucciones.txt”文件假装提供受故障更新影响系统的恢复说明,指示收件人运行Setup.exe文件以启动虚假的修复程序。这是首次报告的试图利用CrowdStrike事件的攻击案例。

在内容更新问题发生后,威胁行为者还设置了多个假冒CrowdStrike的域名,这些域名用于向受影响的公司提供服务,并要求以加密货币支付。CrowdStrike建议组织通过官方渠道与其代表沟通,并遵循公司支持团队提供的技术指导。公司还提供了此次分发Remcos RAT恶意软件活动的妥协指标(IOCs)。
远程控制RAT 恶意代码 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。