上週五(7月19日)EDR系統CrowdStrike Falcon更新引發全球各地Windows電腦大當機,微軟公布有850萬臺電腦受到影響,資安業者Interos指出約有67.4萬企業用戶可能受到影響。
當時,CrowdStrike提出警告,雖然這起事故並非網路攻擊,但很有可能被駭客用來引誘使用者上當,因為他們已經看到30個新註冊的冒牌網域名稱的情況,如今有其他研究人員揭露相關攻擊行動。
惡意軟體沙箱服務業者Any.Run指出,他們發現有駭客意圖趁機散布資料破壞軟體(Wiper)的跡象,對方針對想要找尋能修正電腦因CrowdStrike更新當機的使用者,聲稱提供另一個由CrowdStrike製作的更新軟體,能解決當機的問題。
然而一旦使用者執行,電腦檔案就會被以0位元的資料覆寫,完成後惡意程式再向特定的Telegram頻道回報。
而對於攻擊者的身分,資安新聞網站Bleeping Computer指出,伊朗駭客組織Handala聲稱是他們所為,並透過社群網站X透露,攻擊目標是以色列的企業組織,他們透過釣魚郵件來散布資料破壞軟體。
值得留意的是,這並非Any.Run發現的唯一相關攻擊事故,他們也看到駭客透過PDF文件行騙的行為。而這個PDF檔案內含連結,若是使用者點選,電腦將會下載帶有惡意程式的RAR壓縮檔。此外,他們也看到CrowdStrike公布的惡意程式Hijackloader、Remcos攻擊行動。
除了這些攻擊行動,資安業者CrowdStrike也公布他們看到的第二波攻擊行動,對方假冒微軟,使用Word巨集檔案(.DOCM),宣稱提供復原指引,然而一旦照做,使用者的電腦就有可能被植入竊資軟體Daolpu。
熱門新聞
2024-11-10
2024-11-10
2024-11-10
2024-11-08
2024-11-02