脅威にさらされている企業は、金曜日のCrowdStrikeのアップデートの不具合による大規模なビジネスの中断を悪用し、データ・ワイパーやリモート・アクセス・ツールを使って企業を狙っている。
企業が影響を受けたWindowsホストを修正するための支援を探している中、研究者や政府機関は、この状況を利用しようとするフィッシングメールの増加を発見した。
公式チャンネル
本日の更新で、CrowdStrikeは、世界中の数百万台のWindowsホストをクラッシュさせた最近のコンテンツ更新の影響を受けた「顧客を積極的に支援している」と述べている。
同社は、「敵対勢力や悪質な行為者は、このような出来事を悪用しようとする」ため、公式チャネルを通じて正規の担当者と通信していることを確認するよう顧客に助言している。
「CrowdStrikeの正式な担当者と連絡を取るよう、警戒を怠らないようお願いします。当社のブログとテクニカルサポートは、最新情報を提供する公式チャネルであり続けます。
また、英国ナショナル・サイバー・セキュリティ・センター(NCSC)は、停電に便乗したフィッシングメールの増加を観測したと警告している。
自動マルウェア解析プラットフォームAnyRunは、「フィッシングにつながる可能性のあるCrowdStrikeになりすまそうとする試みが増加している」ことに気づいた[1,2,3]。
修正やアップデートを装ったマルウェア
土曜日にAnyRunは、悪意のある行為者がCrowdStrikeのインシデントを悪用し、感染したシステム上にリモートアクセスツールRemcosをドロップするHijackLoaderを配信し始めたことを報告しました。
被害者を騙してマルウェアをインストールさせるため、脅威の実行者はHijackLoaderのペイロードをWinRARアーカイブに偽装し、CrowdStrikeからのホットフィックスを提供すると約束していました。
Source:AnyRun
AnyRunは、別の警告の中で、攻撃者がCrowdStrikeからのアップデートを配信すると見せかけて、データワイパーも配布していると発表しました。
“ファイルをゼロバイトで上書きすることでシステムを壊滅させ、#Telegramで報告する” –AnyRunは言う。
ソースはこちら:AnyRun
別の例では、マルウェア分析プラットフォームは、サイバー犯罪者がCrowdStrikeのアップデートやバグ修正を装って他のタイプのマルウェアを拡散し始めたと指摘しています。
ある悪意のある実行ファイルは、CrowdStrikeからの公式アップデートの一部を含むPDFファイル内のリンクを通じて配信されました。このURLは、悪意のある実行ファイルCrowdStrike.exeを含むupdate.zipという名前のアーカイブにつながりました。
数百万台のWindowsホストがクラッシュ
CrowdStrikeのソフトウェアアップデートの欠陥は、多数の組織のWindowsシステムに甚大な影響を及ぼし、サイバー犯罪者にとっては逃すことのできない絶好の機会となりました。
マイクロソフトによると、この欠陥アップデートは「850万台のWindowsデバイスに影響を与えた。
被害が発生したのは、UTC04:09から05:27までの78分間だった。
影響を受けたシステムの割合が低く、CrowdStrikeが問題を迅速に修正しようと努力したにもかかわらず、影響は甚大だった。
コンピュータのクラッシュにより、何千ものフライトがキャンセルされ、金融会社では活動が中断され、病院、報道機関、鉄道がダウンし、緊急サービスにも影響が及んだ。
CrowdStrikeは土曜日の事後報告ブログで、今回の障害の原因は、Windowsホスト(バージョン7.11以上)のチャネルファイル(センサー設定)の更新が、クラッシュにつながるロジックエラーを引き起こしたことだと説明している。
クラッシュの原因となっていたチャネルファイルは特定され、もはや問題は発生していないが、システムを通常のオペレーションに復旧させるのに苦労している企業は、CrowdStrikeの指示に従って、個々のホスト、BitLockerキー、クラウドベースの環境を復旧させることができる。
Comments