가짜 CrowdStrike 수정 사항이 악성코드 및 데이터 삭제기를 퍼뜨리고 있습니다

미국 기반 사이버 보안 제공업체 CrowdStrike의 결함 있는 소프트웨어 업데이트로 인해 금요일 전 세계적으로 Microsoft의 Windows 기반 장치에서 대규모 장애가 발생했습니다.

위협 행위자들이 이 결함 있는 업데이트를 악용하여 데이터 삭제기 및 원격 액세스 도구로 기업을 표적으로 삼고 있는 것으로 관찰되었습니다.

모르는 분들을 위해, 850만 대의 Windows 장치가 CrowdStrike Falcon 센서의 오작동으로 인해 영향을 받았으며, 이 보안 솔루션은 Windows 장치에 설치되어 있어 장치가 충돌하고 영향을 받은 장치에서 블루 스크린 오류 메시지(BSOD)를 표시하게 됩니다.

장애가 발생한 후, CrowdStrike는 문제를 인정하고 문제의 업데이트를 롤백했으며 수정 사항을 배포했습니다. 또한 영향을 받은 기업과 조직이 필요한 조치를 취할 수 있도록 관련 공급업체 지침을 발표했습니다.

Microsoft조차도 CrowdStrike 문제를 해결하기 위해 복구 도구를 출시했습니다.

이러한 예방 조치에도 불구하고, 연구자들과 정부 기관들은 기업과 개인에게 문제를 해결하기 위한 합법적으로 보이는 핫픽스를 다운로드하고 설치하라는 피싱 이메일이 증가하고 있음을 발견했습니다.

이 사건은 사이버 보안 연구원 g0njxa에 의해 토요일에 처음 보고되었습니다. 이는 BBVA 은행 고객을 표적으로 하는 Remcos RAT를 설치하는 악성코드 캠페인과 관련이 있습니다.

악성 파일은 HijackLoader를 설치하고, 이후 감염된 시스템에 Remcos RAT(원격 액세스 도구)를 전달합니다.

악성코드를 포함한 ZIP 아카이브 파일의 이름은 “crowdstrike-hotfix”이며, BBVA 인트라넷 포털인 척하는 피싱 사이트 hxxps://portalintranetgrupobbva[.]com을 통해 배포되었습니다.

또한 공격자들은 가짜 CrowdStrike 핫픽스를 통해 데이터 삭제기를 배포하는 모습이 목격되었습니다.

악성코드 분석 플랫폼 AnyRun은 악성 행위자들이 피싱 사기를 통해 CrowdStrike를 사칭하려고 시도하고 있다는 징후를 보고했습니다.

“파일을 0바이트로 덮어쓰며 시스템을 파괴하고, 이후 #Telegram을 통해 이를 보고합니다.”라고 AnyRun은 말합니다.

이 데이터 삭제기와 관련하여, 친이란 해커 집단 Handala가 공격에 대한 책임을 주장했습니다.

그들은 트위터에서 CrowdStrike로 가장하여 데이터 삭제기를 전달하는 이메일을 이스라엘 기업에 보냈다고 밝혔습니다.

위협 행위자들은 “crowdstrike.com.vc” 도메인에서 이메일을 보내 고객이 CrowdStrike 문제를 해결하고 Windows 시스템을 정상으로 되돌릴 수 있는 도구를 다운로드하도록 설득했습니다.

또한 Handala가 목표 기업에 보낸 피싱 이메일에는 BleepingComputer에서 확인된 PDF가 포함되어 있었으며, 이는 가짜 업데이트를 적용하는 방법에 대한 자세한 지침과 ZIP 파일 다운로드 링크를 포함하고 있었습니다. 이 ZIP 파일은 ‘Crowdstrike.exe’라는 실행 가능한 zip 파일로 구성되어 있습니다.

이 가짜 CrowdStrike 업데이트가 실행되면 데이터 삭제기가 다운로드되어 %Temp% 폴더에 추출된 후, 장치에 저장된 파일과 데이터를 덮어쓰도록 실행됩니다.

별도의 블로그 게시물에서 CrowdStrike도 CrowdStrike 지원을 사칭하는 피싱 이메일의 증가에 대해 경고했습니다. 이는 CrowdStrike 직원으로 가장하여 전화 통화를 하거나, 독립 연구자로 가장하여 사이버 공격과 관련된 기술 문제의 증거를 가지고 있다고 주장하며, 복구 통찰력을 제공하고 콘텐츠 업데이트 문제에서 복구를 자동화한다고 주장하는 스크립트를 판매하는 경우입니다.

George Kurtz, CrowdStrike의 창립자이자 CEO는 고객들에게 경계를 유지하고 공식 CrowdStrike 대표와 소통할 것을 촉구했습니다. 그들은 적대자와 악의적인 행위자들이 이 사건을 악용할 것으로 예상하고 있습니다.

“고객들은 업데이트를 위해 지원 포털을 확인할 것을 권장합니다. 우리는 또한 여기와 블로그에서 최신 정보를 계속 제공할 것입니다.”라고 회사는 블로그 게시물에서 작성했습니다.