【安全资讯】假冒CrowdStrike修复程序攻击企业，传播恶意软件和数据擦除工具

概要：

近日，网络攻击者利用CrowdStrike的更新故障，向企业传播恶意软件和数据擦除工具。此次事件影响广泛，涉及多个行业，攻击者通过钓鱼邮件伪装成CrowdStrike的官方修复程序，诱导用户下载并执行恶意软件。

主要内容：

上周五，CrowdStrike发布的更新导致全球数百万台Windows主机崩溃，网络攻击者趁机利用这一混乱局面，向企业传播数据擦除工具和远程访问工具。研究人员和政府机构发现，钓鱼邮件数量显著增加，攻击者试图冒充CrowdStrike的官方代表，诱导用户下载恶意软件。

CrowdStrike在其官方声明中表示，正在积极协助受影响的客户，并提醒用户通过官方渠道确认沟通的真实性。英国国家网络安全中心（NCSC）也警告称，观察到利用此次故障进行钓鱼攻击的现象增多。AnyRun平台发现，攻击者伪装成CrowdStrike，向BBVA银行客户发送假冒的修复程序，安装Remcos远程访问工具。

此外，AnyRun还发现，攻击者通过伪装成CrowdStrike的更新程序，分发数据擦除工具。该工具会将系统文件覆盖为零字节，并通过Telegram报告。此次攻击由亲伊朗黑客组织Handala发起，他们通过伪造的CrowdStrike邮件向以色列公司分发数据擦除工具。

此次事件对全球多个行业造成了严重影响，包括金融、医疗、媒体和交通运输等。CrowdStrike的更新故障在短短78分钟内影响了850万台Windows设备，导致数千次航班取消，金融公司业务中断，医院、媒体组织和铁路系统瘫痪，甚至影响到紧急服务。CrowdStrike在事后解释称，故障源于一个传感器配置文件的逻辑错误，目前问题已得到解决。