惡意軟件攻擊警告 - 以 CrowdStrike 故障事件為主題的惡意軟件攻擊活動

惡意軟件攻擊警告

現況及相關趨勢

在 2024 年 7 月 19 日，CrowdStrike Falcon 感測器軟件的單一內容更新中被發現存在影響 Microsoft Windows 作業系統的問題，CrowdStrike 和 Microsoft 已經發布官方修復程式。有報道指出，不法分子正在利用上述事件發動進一步的網絡攻擊。

香港電腦保安事故協調中心（HKCERT）發現有報道指不法分子不斷演變其攻擊手法，包括使用假冒的 CrowdStrike 恢復手冊、假冒的補救方案及軟件更新來傳送未識別的惡意軟件，可能導致敏感數據洩露、系統崩潰和數據丟失。根據相關訊息，HKCERT 觀察到黑客在此次事件中利用以下攻擊手法來傳播惡意軟件:

• 假冒修復手冊
  一種新的惡意軟件透過包含巨集的 Word 文件傳播。這些文件假裝是 Microsoft 修復指南來欺騙人們打開它們。一旦打開，巨集會激活並開始竊取像密碼這樣的敏感信息。這些被竊取的信息隨後被發送到攻擊者的伺服器。
• 假冒補救方案
  通過網絡釣魚網站和假冒的內聯網門戶來散播假冒的 CrowdStrike 熱修復程序。假冒的熱修復程序傳送了一個惡意軟件加載器，然後放置了一個可以被黑客控制的遠程訪問工具在受感染的系統上。
• 假冒 CrowdStrike 更新
  網絡釣魚電子郵件包含一個鏈接，下載一個 ZIP 檔案包含了名為 「Crowdstrike.exe」 的可執行檔。受害人執行後，一個 「數據抹除器」 會被提取到 「%Temp%」 文件夾下並啟動，從而摧毀設備上的數據。