Crowdstrike

脅威にさらされている企業は、金曜日のCrowdStrikeのアップデートの不具合による大規模なビジネスの中断を悪用し、データ・ワイパーやリモート・アクセス・ツールを使って企業を狙っている。

企業が影響を受けたWindowsホストを修正するための支援を探している中、研究者や政府機関は、この状況を利用しようとするフィッシングメールの増加を発見した。

公式チャンネル

本日の更新で、CrowdStrikeは、世界中の数百万台のWindowsホストをクラッシュさせた最近のコンテンツ更新の影響を受けた「顧客を積極的に支援している」と述べている。

同社は、「敵対者や悪質な行為者は、このような出来事を悪用しようとする」ため、公式チャネルを通じて正規の担当者と通信していることを確認するよう顧客に助言している。

「CrowdStrikeの正式な担当者と連絡を取るよう、警戒を怠らないようお願いします。当社のブログとテクニカルサポートは、最新情報を提供する公式チャネルであり続けます」 – CrowdStrike CEOジョージ・カーツ

また、英国ナショナル・サイバー・セキュリティ・センター(NCSC)は、停電に便乗したフィッシングメールの増加を観測したと警告している。

自動マルウェア解析プラットフォームAnyRunは、「フィッシングにつながる可能性のあるCrowdStrikeになりすまそうとする試みが増加している」ことに気づいた[1,2,3]。

修正やアップデートを装ったマルウェア

土曜日、サイバーセキュリティ研究者のg0njxaは、Remcos RATをインストールする偽のCrowdStrike Hotfixアップデートを提供するBBVA銀行の顧客をターゲットにしたマルウェアキャンペーンを最初に報告しました。

この偽のHotfixは、BBVAのイントラネットポータルを装ったフィッシングサイトportalintranetgrupobbva[.]comを通じて宣伝されていました。

悪質なアーカイブには、社内ネットワークに接続する際のエラーを回避するため、従業員やパートナーにアップデートをインストールするよう指示する内容が含まれていました。

社内ネットワークへの接続と同期のエラーを避けるため、アップデートは必須です」とスペイン語で書かれた「instrucciones.txt」ファイルには書かれている。

また、同じキャンペーンについてツイートしたAnyRunによると、偽のHotfixはHijackLoaderを配信し、感染したシステム上にRemcosリモート・アクセス・ツールをドロップするという。

Malware loader disguised as hotfix from CrowdStrike
CrowdStrike のホットフィックスを装ったマルウェアローダー
ソースはこちら:AnyRun

別の警告として、AnyRunは、攻撃者がCrowdStrikeからのアップデートを配信すると見せかけてデータワイパーを配布していると発表しました。

“ファイルをゼロバイトで上書きすることでシステムを壊滅させ、#Telegramで報告する “とAnyRunは述べています。

このキャンペーンは、親イランのハクティビストグループHandalaによって主張され、彼らはデータワイパーを配布するためにイスラエルの企業に電子メールでCrowdStrikeになりすましたとTwitterで述べています。

脅威行為者は、「crowdstrike.com.vc」というドメインから電子メールを送信してCrowdStrikeになりすまし、Windowsシステムをオンラインに戻すツールが作成されたと顧客に伝えていた。

Phishing email send by the Handala threat actors
Handalaの脅威行為者によって送信されたフィッシングメール

このメールには、偽のアップデートを実行するための詳細な手順が記載されたPDFと、ファイルホスティングサービスから悪意のあるZIPアーカイブをダウンロードするためのリンクが含まれています。このZIPファイルには、「Crowdstrike.exe」という名前の実行ファイルが含まれています。

Malicious attachment pushing data wiper
データワイパーをプッシュする悪意のある添付ファイル
ソースは こちら:

偽の CrowdStrike アップデートが実行されると、%Temp% 以下のフォルダにデータワイパーが展開され、デバイスに保存されているデータを破壊するために起動されます。

数百万台の Windows ホストがクラッシュ

CrowdStrikeのソフトウェアアップデートの欠陥は、多数の組織のWindowsシステムに甚大な影響を及ぼし、サイバー犯罪者にとっては見逃せない好機となりました。

マイクロソフトによると、この欠陥アップデートは「850万台のWindowsデバイスに影響を与えた

被害が発生したのは、UTC04:09から05:27までの78分間だった。

影響を受けたシステムの割合が低く、CrowdStrikeが問題を迅速に修正しようと努力したにもかかわらず、影響は甚大だった。

コンピュータのクラッシュにより、何千ものフライトがキャンセルされ、金融会社では活動が中断され、病院、報道機関、鉄道がダウンし、緊急サービスにも影響が及んだ。

CrowdStrikeは土曜日の事後報告ブログで、今回の障害の原因は、Windowsホスト(バージョン7.11以上)のチャネルファイル(センサー設定)の更新が、クラッシュにつながるロジックエラーを引き起こしたことだと説明している。

クラッシュの原因であったチャネルファイルは特定され、もはや問題は発生していないが、システムを通常のオペレーションに復旧させるのに苦労している企業は、CrowdStrikeの指示に従って、個々のホストBitLockerキークラウドベースの環境を復旧させることができる。