بهره‌برداریِ مجرمان سایبری از اشتباه به‌روزرسانی CrowdStrike برای توزیع بدافزار Remcos RAT

شرکت امنیت سایبری CrowdStrike که به دلیل ایجاد اختلالات فناوری اطلاعات در سراسر جهان[۱] با ارائه یک به‌روزرسانی معیوب برای دستگاه‌های ویندوز با چالش مواجه است، اکنون هشدار می‌دهد که عوامل تهدید از این موقعیت برای توزیع Remcos RAT بین مشتریان خود در آمریکای لاتین به بهانه ارائه یک سرویس رفع فوری استفاده می‌کنند.

زنجیره‌های حمله شامل توزیع یک فایل آرشیو ZIP به نام “crowdstrike-hotfix.zip” است[۲] که حاوی یک بارگزار بدافزار به نام [۳]Hijack Loader (معروف به DOILoader یا IDAT Loader) است که به‌نوبه خود، بارگذاری Remcos RAT را راه‌اندازی می‌کند.

به‌طور خاص، فایل بایگانی همچنین شامل یک فایل متنی (“instrucciones.txt”) با دستورالعمل‌های اسپانیایی‌زبان است که از اهداف می‌خواهد یک فایل اجرایی (“setup.exe”) را برای بازیابی از مشکل اجرا کنند.

این شرکت با نسبت دادن این کمپین به یک گروه مظنون به جنایت الکترونیکی گفت[۴]: «به‌ویژه، نام فایل‌ها و دستورالعمل‌های اسپانیایی در آرشیو ZIP نشان می‌دهد که این کمپین احتمالاً مشتریان CrowdStrike مستقر در آمریکای لاتین (LATAM) را با بدافزار Remcos RAT هدف قرار می‌دهد.»

روز جمعه، CrowdStrike اذعان کرد که یک به‌روزرسانی معمول پیکربندی حسگر به پلتفرم Falcon آن برای دستگاه‌های ویندوزی در ۱۹ ژوئیه در ساعت ۰۴:۰۹ UTC به‌طور ناخواسته یک خطای منطقی را ایجاد کرد که منجر به صفحه آبی مرگ (BSoD) شد و سیستم‌های متعددی را غیرقابل اجرا کرد.

این رویداد بر مشتریانی که از سنسور فالکون برای ویندوز نسخه ۷٫۱۱ و بالاتر استفاده می‌کردند، تأثیر گذاشت و بین ساعت‌های ۰۴:۰۹ تا ۰۵:۲۷ صبح UTC آنلاین بودند.

بازیگران مخرب هیچ‌وقتی را برای سرمایه‌گذاری روی هرج‌ومرج ایجادشده توسط این رویداد برای راه‌اندازی دامنه‌های تایپی با جعل هویت CrowdStrike و تبلیغ خدمات به شرکت‌هایی که تحت تأثیر این موضوع قرارگرفته‌اند درازای پرداخت ارز دیجیتال، تلف نکرده‌اند.

به مشتریانی که تحت تأثیر قرار می‌گیرند توصیه می‌شود «اطمینان حاصل کنند که از طریق کانال‌های رسمی با نمایندگان CrowdStrike در ارتباط هستند و از راهنمایی‌های فنی تیم‌های پشتیبانی CrowdStrike پیروی می‌کنند».

مایکروسافت که با CrowdStrike در تلاش‌های اصلاحی درگیر بوده است، گفت که فروپاشی دیجیتال ۸٫۵ میلیون دستگاه ویندوز را در سراسر جهان فلج کرده است یا کمتر از یک درصد از تمام دستگاه‌های ویندوز.

این توسعه[۵] – که یک‌بار دیگر خطرات مرتبط با تکیه بر زنجیره‌های monocultural supply را آشکار کرده است – اولین باری است که تأثیر و مقیاس واقعی آنچه احتمالاً مختل‌کننده‌ترین رویداد سایبری در تاریخ است، رسماً منتشر می‌شود. دستگاه‌های مک و لینوکس تحت تأثیر این فاجعه قرار نگرفتند.

این غول فناوری گفت[۶]: “این حادثه ماهیت به‌هم‌پیوسته اکوسیستم گسترده ما را نشان می‌دهد – ارائه‌دهندگان ابر جهانی، پلتفرم‌های نرم‌افزار، فروشندگان امنیتی و سایر فروشندگان نرم‌افزار و مشتریان. این همچنین یادآور این است که چقدر برای همه ما در سراسر اکوسیستم فناوری مهم است که عملیات با استقرار ایمن و بازیابی حوادث را با استفاده از مکانیسم‌های موجود در اولویت قرار دهیم.”

به‌روزرسانی

مایکروسافت ابزار بازیابی جدیدی را برای کمک به ادمین‌های فناوری اطلاعات در بازیابی ماشین‌های ویندوزی که تحت تأثیر به‌روزرسانی معیوب CrowdStrike که باعث ازکارافتادن ۸٫۵ میلیون دستگاه ویندوز شده بود، در دسترس قرار داده است[۷].

CrowdStrike همچنین یک Remediation and Guidance Hub را منتشر کرده است[۸] که به‌عنوان فروشگاهی یکپارچه برای تمام جزئیات مربوط به حادثه عمل می‌کند، راه‌هایی را برای شناسایی میزبان‌های آسیب‌دیده و حل آن‌ها، ازجمله مواردی که با BitLocker رمزگذاری شده‌اند، فهرست می‌کند.

این اقدام در حالی صورت می‌گیرد[۹] که از آن زمان گزارش‌هایی مبنی بر به‌روزرسانی‌های CrowdStrike منتشرشده است که باعث می‌شود همه سرورهای لینوکس دبیان در یک آزمایشگاه فناوری مدنی ناشناس به‌طور هم‌زمان از کار بیفتند و از بوت شدن خودداری کنند و همچنین باعث ایجاد وحشت هسته در توزیع‌های لینوکس Red Hat[10] و [۱۱]Rocky شود.

 

منابع

[۱] https://thehackernews.com/2024/07/faulty-crowdstrike-update-crashes.html

[۲] https://www.virustotal.com/gui/file/c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2

[۳] https://thehackernews.com/2024/06/cybercriminals-exploit-free-software.html

[۴] https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/

[۵] https://www.washingtonpost.com/technology/2024/07/20/microsoft-outage-crowdstrike-regulatory-scrutiny

[۶] https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage

[۷] https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959

[۸] https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

[۹] https://news.ycombinator.com/item?id=41005936

[۱۰] https://access.redhat.com/solutions/7068083

[۱۱] https://forums.rockylinux.org/t/crowdstrike-freezing-rockylinux-after-9-4-upgrade/14041

[۱۲] https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html