我們?cè)凇?strong>微軟藍(lán)屏導(dǎo)致全球大宕機(jī)啟示：自主可控才是硬道理》一文中了解到導(dǎo)致全球大宕機(jī)的微軟藍(lán)屏安全事件，而導(dǎo)致這次安全事件的主因就是CrowdStrike更新。近日，CrowdStrike警告稱(chēng)，有網(wǎng)絡(luò)攻擊者利用CrowdStrike更新事故來(lái)分發(fā)惡意軟件，他們冒充虛假的CrowdStrike修補(bǔ)程序更新，誘使受害者下載安裝惡意軟件。

發(fā)現(xiàn)的兩起利用CrowdStrike更新事故分發(fā)惡意軟件的事例中，一起針對(duì)BBVA 銀行，一起針對(duì)以色列公司。

冒充虛假CrowdStrike修補(bǔ)程序更新，誘使BBVA 銀行客戶安裝惡意軟件

在針對(duì)BBVA 銀行客戶的惡意軟件活動(dòng)，該活動(dòng)以虛假 CrowdStrike 修補(bǔ)程序更新的形式安裝Remcos RAT惡意軟件。在該攻擊鏈中，虛假修補(bǔ)程序通過(guò)名為portalintranetgrupobbva的釣魚(yú)網(wǎng)站傳播，并偽裝成 BBVA Intranet 門(mén)戶。涉及分發(fā)的名為“crowdstrike-hotfix.zip”的 ZIP 存檔文件中包含一個(gè)名為 Hijack Loader（又名 DOILoader 或 IDAT Loader）的惡意軟件加載程序，該加載程序反過(guò)來(lái)啟動(dòng) Remcos RAT 有效載荷。存檔文件還包括一個(gè)文本文件 （“instrucciones.txt”），其中包含西班牙語(yǔ)說(shuō)明，敦促受害者運(yùn)行可執(zhí)行文件以從問(wèn)題中恢復(fù)。

冒充CrowdStrike官方郵件，誘使以色列公司執(zhí)行數(shù)據(jù)擦除器

黑客組織Handala冒充CrowdStrike官方郵件，給以色列公司假裝創(chuàng)建讓W(xué)indows系統(tǒng)重新運(yùn)行的工具，但實(shí)際上是在分發(fā)數(shù)據(jù)擦除器。

這些電子郵件包括一份虛假更新的PDF說(shuō)明，以及從文件托管服務(wù)下載惡意ZIP存檔的鏈接。此ZIP文件包含一個(gè)名為“Crowdstrike.exe”的可執(zhí)行文件，該文件一旦執(zhí)行，數(shù)據(jù)擦除器將被提取到 %Temp% 下的文件夾，并啟動(dòng)執(zhí)行數(shù)據(jù)擦除操作。

不僅如此，惡意行為者不失時(shí)機(jī)地利用該事件造成的混亂，建立假冒 CrowdStrike 的 typosquatting 域名，并向受該問(wèn)題影響的公司宣傳服務(wù)，以換取加密貨幣付款。

CrowdStrike首席執(zhí)行官George Kurtz提醒廣大企業(yè)及用戶，要保持警惕，確保是通過(guò)真正的官方渠道來(lái)獲得更新并解決問(wèn)題。

此外，微軟一直在與CrowdStrike合作開(kāi)展修復(fù)工作，該公司表示，這次數(shù)字崩潰導(dǎo)致全球850萬(wàn)臺(tái)Windows設(shè)備癱瘓，占所有Windows機(jī)器的比例不到1%。

這一事態(tài)發(fā)展再次凸顯了依賴(lài)單一文化供應(yīng)鏈所帶來(lái)的風(fēng)險(xiǎn)，標(biāo)志著可能是史上最具破壞性的網(wǎng)絡(luò)事件的真實(shí)影響和規(guī)模首次被正式公布于眾。這次事件表明，我們廣泛的生態(tài)系統(tǒng)--全球云提供商、軟件平臺(tái)、安全廠商和其他軟件廠商以及客戶--是相互關(guān)聯(lián)的。這也提醒我們，對(duì)于整個(gè)科技生態(tài)系統(tǒng)的所有人來(lái)說(shuō)，利用現(xiàn)有機(jī)制優(yōu)先實(shí)現(xiàn)安全部署和災(zāi)難恢復(fù)是多么重要。

資料參考來(lái)源：thehackernews、bleepingcomputer、freebuf