Stručnjaci za kibernetičku sigurnost otkrili su zabrinjavajući razvoj nakon nedavnog problema sa senzorom CrowdStrike Falcon koji je uticao na Windows sisteme 19. jula 2024. Hakeri sada aktivno iskorištavaju ovaj incident kako bi ciljali klijente CrowdStrike-a kroz razne zlonamjerne aktivnosti.
Originalni problem je proizašao iz ažuriranja sadržaja za senzor CrowdStrike Falcon na Windows hostovima, što je izazvalo padove sistema i plave ekrane na pogođenim mašinama.
Dok je CrowdStrike brzo identifikovao, izolovao i primjenio rešenje za problem, oportunistički hakeri su iskoristili situaciju i pokrenuli nove napade.
CrowdStrike Intelligence je prijavio nekoliko taktika koje koriste ovi hakeri:
- Kampanje krađe identiteta: sajber-kriminalci šalju lažne e-poruke predstavljajući se kao podrška za CrowdStrike, pokušavajući prevariti klijente da otkriju osjetljive informacije ili daju neovlašteni pristup.
- Društveni inženjering: Bilo je slučajeva da hakeri imitiraju osoblje CrowdStrike-a tokom telefonskih poziva, vjerovatno s ciljem da manipulišu žrtvama da ugroze njihovu sigurnost.
- Dezinformacije: Neki napadači se predstavljaju kao nezavisni istraživači, lažno tvrdeći da imaju dokaze koji povezuju tehnički problem sa sajber napadom i nude sumnjive savjete za sanaciju.
- Distribucija zlonamjernog softvera: Kriminalci pokušavaju prodati skripte koje navodno automatiziraju oporavak od problema s ažuriranjem sadržaja, što umjesto toga može uvesti zlonamjerni softver ili stvoriti nove ranjivosti.
19. jula 2024. identifikovani su brojni domeni koji imitiraju CrowdStrike, a koji podržavaju zlonamjerne aktivnosti
crowdstrike.phpartners[.]org
crowdstrike0day[.]com
crowdstrikebluescreen[.]com
crowdstrike-bsod[.
]com crowdstrikeupdate[.]com
crowdstrikebsod[.]com
www.crowdstrike0day[.]com
www.fix-crowdstrike.bs ]com
crowdstrikeoutage[.]info
www.microsoftcrowdstrike[.]com
crowdstrikeodayl[.]com
crowdstrike[.]buzz
www.crowdstriketoken[.]com
www.crowdstrikefix[.]com
fix-crowdstrike-apocalypse[.]com
microsoft.crowd ]com
crowdstrikedoomsday[.]com
crowdstrikedown[.]com
whatiscrowdstrike[.]com
crowdstrike-helpdesk[.]com
crowdstrikefix[.]com
fix-crowdstrike-bsod[.]com
crowdstrikedown[.]site
crowdstuck[.] con
-crowdstrike -fa. immed-update[.]com
crowdstriketoken[.]com
crowdstrikeclaim[.]com
crowdstrikeblueteam[.]com
crowdstrikefix[.]zip
crowdstrikereport[.]com
Iako neki od ovih domena možda trenutno ne sadrže zlonamjerni sadržaj, mogli bi se koristiti u budućim operacijama društvenog inženjeringa.
Kao odgovor na ove novonastale prijetnje, CrowdStrike Intelligence snažno savjetuje organizacijama da:
- Potvrdite kanale komunikacije: Osigurajte da se sve interakcije s predstavnicima CrowdStrike-a odvijaju putem službenih, provjerenih kanala.
- Slijedite službene smjernice: Striktno se pridržavajte tehničkih uputstava koje pružaju timovi za podršku CrowdStrike-a.
- Budite oprezni: Budite oprezni s neželjenom komunikacijom u vezi s nedavnim incidentom, posebno sa onima koji zahtijevaju osjetljive informacije ili promovišu rješenja za brzo rješavanje problema.
- Obrazujte zaposlene: Obavijestite zaposlene o ovim novim prijetnjama i osnažite najbolje prakse za prepoznavanje i prijavljivanje sumnjivih aktivnosti.
Važno je napomenuti da izvorni problem CrowdStrike-a nije bio sigurnosni incident ili sajber napad, već tehnički nedostatak u ažuriranju sadržaja za Windows hostove. Mac i Linux sistemi nisu bili pogođeni ovim problemom.
Kako se situacija razvija, organizacijama se savjetuje da ostanu informisani putem službenih CrowdStrike kanala i implementiraju robusne sigurnosne mjere za zaštitu od ovih oportunističkih napada.
Izvor Cyber Security News