CrowdStrike upozorava na nepoznatog hakera koji pokušava iskoristiti fijasko ažuriranja Falcon Sensora kako bi distribuirao sumnjive instalatere koji ciljaju njemačke kupce u sklopu visoko ciljane kampanje.
Kompanija za cyber sigurnost je saopštila da je 24. jula 2024. identifikovala ono što je opisala kao nepripisani pokušaj krađe identiteta, distribuirajući neautentični CrowdStrike Crash Reporter instalater putem web stranice koja se predstavlja kao neimenovani njemački entitet.
Navodi se da je web stranica lažnjaka kreirana 20. jula, dan nakon što je pogrešna nadogradnja srušila skoro 9 miliona Windows uređaja, uzrokujući velike IT poremećaje širom svijeta.
“Nakon što korisnik klikne na dugme Preuzmi, veb lokacija koristi JavaScript (JS) koji se maskira kao JQuery v3.7.1 da preuzme i demaskira instalater,” rekao je tim za Counter Adversary Operations CrowdStrike .
“Instalacijski program sadrži CrowdStrike brendiranje, njemačku lokalizaciju i potrebna je lozinka za nastavak instaliranja zlonamjernog softvera.”
Konkretno, stranica za krađu identiteta sadržavala je vezu za preuzimanje do ZIP arhivske datoteke koja sadrži zlonamjerni program za instalaciju InnoSetup-a, sa zlonamjernim kodom koji poslužuje izvršni fajl ubačen u JavaScript datoteku pod nazivom “jquery-3.7.1.min.js” u očiglednom pokušaju da izbegne otkrivanje.
Korisnici koji na kraju pokreću lažni instalater bivaju upitani da unesu “Backend-Server” da nastave dalje. CrowdStrike je rekao da nije u mogućnosti da povrati konačni korisni teret koji je raspoređen preko instalatera.
Procjenjuje se da je kampanja visoko ciljana zbog činjenice da je instalater zaštićen lozinkom i zahtijeva unos koji je vjerovatno poznat samo ciljanim entitetima. Nadalje, prisustvo njemačkog jezika sugerira da je aktivnost usmjerena na kupce CrowdStrikea koji govore njemački.
“Čini se da je haker vrlo svjestan praksi operativne sigurnosti (OPSEC), jer su se tokom ove kampanje fokusirali na anti-forenzičke tehnike”, rekao je CrowdStrike.
“Na primjer, haker je registrirao poddomenu pod domenom it[.]com, sprječavajući historijsku analizu detalja registracije domene. Osim toga, šifriranje sadržaja instalatera i sprječavanje daljnjih aktivnosti bez lozinke onemogućuje dalju analizu i pripisivanje.”
Razvoj dolazi usred vala phishing napada koji koriste prednost problema s ažuriranjem CrowdStrike za propagiranje zlonamjernog softvera za krađu –
- Domena za krađu identiteta crowdstrike-office365[.]com koja hostuje lažne arhivske fajlove koji sadrže učitavač Microsoft Installer (MSI) koji na kraju izvršava krađu informacija o robi pod nazivom Lumma .
- ZIP datoteka (“CrowdStrike Falcon.zip”) koja sadrži alat za krađu informacija zasnovan na Pythonu praćen kao Connecio koji prikuplja sistemske informacije, eksternu IP adresu i podatke iz različitih web pretraživača i eksfiltrira ih na SMTP naloge navedene na Pastebin mrtvoj- ispusti URL.
U četvrtak, CrowdStrikeov izvršni direktor George Kurtz rekao je da je 97% Windows uređaja koji su isključeni tokom globalnog prekida rada IT-a sada operativno.
“U CrowdStrikeu, naša misija je da zaslužimo vaše povjerenje čuvajući vaše operacije. Duboko mi je žao zbog poremećaja koji je ovaj prekid izazvao i lično se izvinjavam svima na koje je to utjecalo”, rekao je Kurtz . “Iako ne mogu obećati savršenstvo, mogu obećati odgovor koji je fokusiran, efikasan i sa osjećajem hitnosti.”
Prethodno se glavni službenik za sigurnost kompanije Shawn Henry izvinio što nije “zaštitio dobre ljude od loših stvari” i da je “iznevjerio one ljude koje smo se obavezali zaštititi”.
„Pouzdanje koje smo gradili u kapima tokom godina izgubljeno je u kantama u roku od nekoliko sati, i to je bio udarac u stomak“, priznao je Henry . “Posvećeni smo ponovnom zadobivanju vašeg povjerenja pružanjem zaštite koja vam je potrebna da ometate protivnike koji vas ciljaju. Uprkos ovom neuspehu, misija traje.”
U međuvremenu, Bitsightova analiza obrazaca saobraćaja koje su CrowdStrike mašine pokazale širom organizacija širom sveta otkrila je dva „zanimljiva“ podatka za koje je rekao da zahtevaju dodatnu istragu.
“Prvo, 16. jula oko 22:00 došlo je do velikog naleta saobraćaja, praćenog jasnim i značajnim padom izlaznog saobraćaja od organizacija do CrowdStrikea”, rekao je istraživač sigurnosti Pedro Umbelino . „Drugo, došlo je do značajnog pada, između 15% i 20%, u broju jedinstvenih IP adresa i organizacija povezanih na CrowdStrike Falcon servere, nakon zore 19.
„Iako ne možemo zaključiti čemu se može pripisati osnovni uzrok promjene obrazaca saobraćaja 16., to opravdava temeljno pitanje ‘Postoji li ikakva korelacija između zapažanja 16. i nestanka 19.?’ “
Izvor:The Hacker News