偽のCrowdStrike修正がマルウェアとデータワイパーを広めている

米国のサイバーセキュリティプロバイダーCrowdStrikeの不具合のあるソフトウェアアップデートが、金曜日にMicrosoftのWindowsベースのデバイスに対して世界的な大規模障害を引き起こしました。

脅威アクターがこの不具合のあるアップデートを悪用して、データワイパーやリモートアクセスツールを使用して企業を標的にしていることが観察されています。

知らない方のために、850万台のWindowsデバイスがCrowdStrike Falconセンサーの故障により影響を受け、これによりデバイスがクラッシュし、影響を受けたデバイスに「ブルースクリーンエラー（BSOD）」メッセージが表示されました。

障害の発生後、CrowdStrikeは問題を認め、問題のあるアップデートをロールバックし、修正を展開しました。また、影響を受けた企業や組織が必要な措置を講じることができるように、関連するベンダーガイダンスを公開しました。

MicrosoftもCrowdStrikeの問題に対処するためのリカバリーツールをリリースしました。

これらの予防措置にもかかわらず、研究者や政府機関は、企業や個人に問題のための正当な外観のホットフィックスをダウンロードしてインストールするよう促すフィッシングメールの増加を確認しています。

この事件は、サイバーセキュリティ研究者g0njxaによって土曜日に最初に報告されました。これは、BBVA銀行の顧客を標的にした偽のCrowdStrikeホットフィックスアップデートとして配信されるRemcos RATをインストールするマルウェアキャンペーンに関するものです。

悪意のあるファイルはHijackLoaderをインストールし、その後感染したシステムにRemcos RAT（リモートアクセスツール）を配信します。

マルウェアを運ぶZIPアーカイブファイルの名前は「crowdstrike-hotfix」で、BBVAイントラネットポータルを装ったフィッシングサイトhxxps://portalintranetgrupobbva[.]comを通じて配布されました。

さらに、攻撃者は偽のCrowdStrikeホットフィックスを通じてデータワイパーを配布しているのが確認されています。

マルウェア分析プラットフォームAnyRunは、悪意のあるアクターがフィッシング詐欺を通じてCrowdStrikeを偽装しようとしている兆候を報告しています。

「それはファイルをゼロバイトで上書きすることによってシステムを壊滅させ、その後#Telegramで報告します」とAnyRunは述べています。

このデータワイパーに関連して、親イランのハクティビストグループHandalaが攻撃の責任を主張しました。

彼らはTwitterで、CrowdStrikeを装ってイスラエルの企業にデータワイパーを配信するメールを送信したと述べました。

脅威アクターは「crowdstrike.com.vc」というドメインからメールを送り、顧客にCrowdStrikeの問題を修正し、Windowsシステムを正常に戻すツールをダウンロードするよう説得しました。

さらに、Handalaがターゲット企業に送信したフィッシングメールには、BleepingComputerによって確認されたPDFが含まれており、偽のアップデートを適用する方法に関する詳細な指示と、実行可能なzipファイル「Crowdstrike.exe」を含むZIPファイルをダウンロードするためのリンクが含まれていました。

この偽のCrowdStrikeアップデートが実行されると、データワイパーがダウンロードされ、%Temp%のフォルダーに抽出され、その後ファイルとデータを上書きするために起動されます。

別のブログ投稿で、CrowdStrikeもCrowdStrikeサポートを装ったフィッシングメールの増加について警告しています。CrowdStrikeのスタッフを装った電話での連絡、独立した研究者を装い、技術的な問題がサイバー攻撃に関連しているという証拠を持っていると主張し、修復の洞察を提供し、コンテンツ更新の問題からの回復を自動化するスクリプトの販売を行っています。

CrowdStrikeの創設者兼CEOであるジョージ・カーツは、顧客に警戒を怠らず、公式のCrowdStrikeの代表者と連絡を取るよう促しました。彼らは敵や悪意のある行為者がこの事件を悪用すると予想しています。

「顧客はサポートポータルでの更新を確認することをお勧めします。私たちは、ここやブログで最新情報を提供し続けます。

組織は、公式のチャネルを通じてCrowdStrikeの代表者と連絡を取っていることを確認することをお勧めします」と同社はブログ投稿で述べています。