CrowdStrike تحذر من عملية تصيد احتيالية جديدة تستهدف العملاء الألمان
تنبه CrowdStrike إلى وجود جهة تهديد غير مألوفة تحاول الاستفادة من الفشل الذريع في تحديث Falcon Sensor لتوزيع أدوات التثبيت المشبوهة التي تستهدف العملاء الألمان كجزء من حملة شديدة الاستهداف.
وقالت شركة الأمن السيبراني إنها حددت ما وصفته بمحاولة تصيد احتيالي غير منسوبة لها في 24 يوليو 2024، حيث قامت بتوزيع برنامج تثبيت CrowdStrike Crash Reporter غير الأصلي عبر موقع ويب ينتحل شخصية كيان ألماني لم يذكر اسمه.
يقال إن موقع الويب المحتال قد تم إنشاؤه في 20 يوليو، بعد يوم واحد من التحديث الفاشل الذي أدى إلى تعطل ما يقرب من 9 ملايين جهاز يعمل بنظام Windows، مما تسبب في اضطرابات واسعة النطاق في مجال تكنولوجيا المعلومات في جميع أنحاء العالم.
“بعد أن ينقر المستخدم على زر التنزيل، يستخدم موقع الويب JavaScript (JS) الذي يتنكر في شكل JQuery v3.7.1 لتنزيل برنامج التثبيت وإزالة التشويش،” فريق عمليات مكافحة الأعداء في CrowdStrike قال.
“يحتوي برنامج التثبيت على العلامة التجارية CrowdStrike والترجمة الألمانية وكلمة مرور [is] مطلوب لمواصلة تثبيت البرامج الضارة.”
على وجه التحديد، تضمنت صفحة التصيد الاحتيالي رابط تنزيل إلى ملف أرشيف ZIP يحتوي على برنامج تثبيت InnoSetup ضار، مع وجود تعليمات برمجية ضارة تخدم الملف القابل للتنفيذ الذي تم حقنه في ملف JavaScript المسمى “jquery-3.7.1.min.js” في جهد واضح. للتهرب من الكشف.
تتم مطالبة المستخدمين الذين ينتهي بهم الأمر بتشغيل برنامج التثبيت الزائف بعد ذلك بالدخول إلى “Backend-Server” للمضي قدمًا. قالت CrowdStrike إنها غير قادرة على استعادة الحمولة النهائية التي تم نشرها عبر أداة التثبيت.
تم تقييم الحملة على أنها مستهدفة للغاية نظرًا لأن برنامج التثبيت محمي بكلمة مرور ويتطلب مدخلات من المحتمل أن تكون معروفة فقط للكيانات المستهدفة. علاوة على ذلك، يشير وجود اللغة الألمانية إلى أن النشاط موجه نحو عملاء CrowdStrike الناطقين باللغة الألمانية.
وقال CrowdStrike: “يبدو أن الجهة التهديدية على دراية تامة بممارسات أمن العمليات (OPSEC)، حيث ركزت على تقنيات مكافحة الطب الشرعي خلال هذه الحملة”.
“على سبيل المثال، قام الممثل بتسجيل نطاق فرعي تحت عنوان it[.]com، مما يمنع التحليل التاريخي لتفاصيل تسجيل النطاق. بالإضافة إلى ذلك، فإن تشفير محتويات برنامج التثبيت ومنع حدوث المزيد من الأنشطة بدون كلمة مرور يحول دون إجراء المزيد من التحليل والإسناد.”
ويأتي هذا التطوير وسط موجة من هجمات التصيد الاحتيالي التي تستغل مشكلة تحديث CrowdStrike لنشر البرامج الضارة السارقة –
- مجال التصيد الاحتيالي Crowdstrike-office365[.]كوم ذلك المضيفين ملفات أرشيف خادعة تحتوي على أداة تحميل Microsoft Installer (MSI) التي تقوم في النهاية بتنفيذ أداة سرقة معلومات سلعة تسمى Lumma.
- ملف ZIP (“CrowdStrike Falcon.zip”) يحتوي على أداة سرقة معلومات مستندة إلى Python يتم تتبعها على أنها كونيسيو الذي يجمع معلومات النظام، وعنوان IP الخارجي، والبيانات من متصفحات الويب المختلفة، ويخرجها إلى حسابات SMTP المدرجة في عنوان URL الخاص بـ Pastebin.
قال جورج كورتز، الرئيس التنفيذي لشركة CrowdStrike، يوم الخميس، إن 97% من أجهزة Windows التي انقطعت عن الاتصال بالإنترنت أثناء انقطاع تكنولوجيا المعلومات العالمي أصبحت الآن جاهزة للعمل.
“في CrowdStrike، مهمتنا هي كسب ثقتك من خلال حماية عملياتك. أنا آسف بشدة للاضطراب الذي سببه هذا الانقطاع وأعتذر شخصيًا لجميع المتأثرين،” كورتز قال. “على الرغم من أنني لا أستطيع أن أعد بالكمال، إلا أنني أستطيع أن أعد باستجابة مركزة وفعالة ومع شعور بالإلحاح.”
وفي السابق، اعتذر شون هنري، كبير مسؤولي الأمن في الشركة، عن الفشل في “حماية الأشخاص الطيبين من الأشياء السيئة”، وأن ذلك “خذل الأشخاص الذين التزمنا بحمايتهم”.
“الثقة التي بنيناها بالتنقيط على مر السنين ضاعت في دلاء في غضون ساعات، وكان ذلك بمثابة لكمة الأمعاء،” هنري اعترف. “نحن ملتزمون باستعادة ثقتكم من خلال توفير الحماية التي تحتاجونها لتعطيل الخصوم الذين يستهدفونكم. وعلى الرغم من هذه النكسة، فإن المهمة لا تزال قائمة.”
وفي الوقت نفسه، كشف تحليل Bitsight لأنماط حركة المرور التي أظهرتها أجهزة CrowdStrike عبر المؤسسات على مستوى العالم عن نقطتين بيانات “مثيرتين للاهتمام” قالت إنهما يتطلبان تحقيقًا إضافيًا.
“أولاً، في 16 يوليو حوالي الساعة 22:00، كان هناك ارتفاع كبير في حركة المرور، أعقبه انخفاض واضح وكبير في حركة الخروج من المنظمات إلى CrowdStrike،” الباحث الأمني بيدرو أومبيلينو قال. “ثانيًا، كان هناك انخفاض كبير، يتراوح بين 15% و20%، في عدد عناوين IP الفريدة والمؤسسات المتصلة بخوادم CrowdStrike Falcon، بعد فجر التاسع عشر.”
“على الرغم من أننا لا نستطيع أن نستنتج السبب الجذري للتغيير في أنماط حركة المرور في السادس عشر من الشهر، إلا أنه يبرر السؤال الأساسي المتمثل في “هل هناك أي علاقة بين الملاحظات في السادس عشر وانقطاع التيار في التاسع عشر؟” “
إرسال التعليق