Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Hackerlar Sahte CrowdStrike Güncellemeleri ile Şirketleri Hedef Alıyor

Hackerlar Sahte CrowdStrike Güncellemeleri ile Şirketleri Hedef Alıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 6 dk okuma süresi
220 0
Hackerlar Sahte CrowdStrike Güncellemeleri pp

Hackerlar Sahte CrowdStrike Güncellemeleri ile Şirketleri Hedef Alıyor

Tehdit aktörleri, CrowdStrike’ın Cuma günü yaptığı hatalı güncellemenin büyük iş kesintisini kullanarak şirketleri veri silici ve uzaktan erişim araçlarıyla hedef alıyor.

Şirketler etkilenen Windows sistemlerini düzeltmek için yardım ararken, araştırmacılar ve devlet kurumları bu durumdan faydalanmaya çalışan kimlik avı e-postalarında bir artış fark etti.

Crowdstrike

Hackerlar Sahte CrowdStrike Güncellemeleri ile yoğun şekilde hedef almaya başladı. 

Resmi kanal iletişimi

CrowdStrike, bugün yaptığı bir güncellemede, dünya genelinde milyonlarca Windows sisteminin çökmesine neden olan son içerik güncellemesinden etkilenen müşterilere “aktif olarak yardım ettiğini” belirtti.

Şirket, müşterilerine, resmi kanallar aracılığıyla iletişim kurduklarından emin olmalarını tavsiye ediyor çünkü “düşmanlar ve kötü niyetli aktörler bu tür olayları kullanmaya çalışacaktır.”

George Kurtz, CrowdStrike CEO’su “Herkesi dikkatli olmaya ve resmi CrowdStrike temsilcileriyle iletişim kurduğunuzdan emin olmaya teşvik ediyorum. Blogumuz ve teknik destek, en son güncellemeler için resmi kanallar olmaya devam edecek” 

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) de kesintiden faydalanmaya çalışan kimlik avı mesajlarında bir artış gözlemlediğini uyardı.

Otomatik kötü amaçlı yazılım analiz platformu AnyRun, “CrowdStrike’ı taklit etme girişimlerinde bir artış olduğunu ve bunun kimlik avına yol açabileceğini” fark etti [1, 2, 3].

Güncellemeler ve düzeltmeler olarak gizlenmiş kötü amaçlı yazılımlar

Cumartesi günü, siber güvenlik araştırmacısı g0njxa, BBVA banka müşterilerini hedefleyen ve Remcos RAT’ı yükleyen sahte bir CrowdStrike Hotfix güncellemesi sunan bir kötü amaçlı yazılım kampanyasını ilk kez rapor etti.

Sahte hotfix, BBVA İntranet portalı gibi davranan phishing sitesi portalintranetgrupobbva[.]com aracılığıyla tanıtıldı.

Kötü amaçlı arşivde, çalışanlara ve iş ortaklarına şirketin iç ağına bağlanırken hatalardan kaçınmak için güncellemeyi yüklemelerini söyleyen talimatlar yer alıyor.

“Şirketin iç ağına bağlanma ve senkronizasyon hatalarından kaçınmak için zorunlu güncelleme,” diye okunuyor ‘instrucciones.txt’ dosyasında İspanyolca olarak.

Aynı kampanya hakkında tweet atan AnyRun, sahte hotfix’in HijackLoader’ı teslim ettiğini ve ardından enfekte sisteme Remcos uzaktan erişim aracını bıraktığını belirtti.

Hackerlar Sahte CrowdStrike Güncellemeleri

 

 

 

 

 

 

 

 

Başka bir uyarıda, AnyRun saldırganların CrowdStrike’tan bir güncelleme teslim etme bahanesiyle bir veri silici dağıttığını duyurdu.

AnyRun isimli kişi “Dosyaları sıfır baytla üzerine yazarak sistemi yok ediyor ve ardından bunu #Telegram üzerinden raporluyor,” olarak açıkladı.

Bu kampanya, pro-İranlı hacktivist grup Handala tarafından üstlenildi ve Twitter’da, veri siliciyi dağıtmak için İsrailli şirketlere e-postalarda CrowdStrike’ı taklit ettiklerini belirttiler.

Tehdit aktörleri, ‘crowdstrike.com.vc’ alan adından e-postalar göndererek müşterilere Windows sistemlerini tekrar çevrimiçi hale getirmek için bir araç oluşturulduğunu söyleyerek CrowdStrike’ı taklit ettiler.

Hackerlar Sahte CrowdStrike Güncellemeleri

E-postalar, sahte güncellemeyi çalıştırma konusunda daha fazla talimat içeren bir PDF ve bir dosya barındırma hizmetinden kötü amaçlı bir ZIP arşivi indirmek için bir bağlantı içeriyor. Bu ZIP dosyasında ‘Crowdstrike.exe’ adlı bir çalıştırılabilir dosya bulunuyor.

Malicious attachment pushing data wiper

Sahte CrowdStrike güncellemesi çalıştırıldığında, veri silici %Temp% altındaki bir klasöre çıkarılır ve cihazda depolanan verileri yok etmek için başlatılır.

Milyonlarca Windows sistemi çöktü

CrowdStrike’ın yazılım güncellemesindeki kusur, birçok kuruluşta Windows sistemleri üzerinde büyük bir etki yarattı ve bu durum siber suçlular için kaçırılmayacak bir fırsat oldu.

Microsoft’a göre, hatalı güncelleme “8,5 milyon Windows cihazını, yani tüm Windows makinelerinin yüzde birinden azını etkiledi.”

İlginizi çekebilecek yazımız: Cisco Smart Software Manager Yazılımında Kritik Güvenlik Açığı Ortaya Çıktı

Zarar, 04:09 UTC ile 05:27 UTC arasında 78 dakika içinde meydana geldi.

Etkilenen sistemlerin düşük yüzdesine ve CrowdStrike’ın sorunu hızla düzeltme çabalarına rağmen, etki büyüktü.

Bilgisayar çökmeleri, binlerce uçuşun iptal edilmesine, finans şirketlerindeki faaliyetlerin aksamasına, hastanelerin, medya kuruluşlarının, demiryollarının ve hatta acil servislerin kapanmasına yol açtı.

Cumartesi günü yayımlanan bir inceleme blog yazısında, CrowdStrike, kesintinin nedeninin Windows sistemlerine (sürüm 7.11 ve üzeri) yapılan bir kanal dosyası (sensör yapılandırması) güncellemesi olduğunu ve bu güncellemenin bir mantık hatasını tetikleyerek çökmeye yol açtığını açıkladı.

Çökmelere neden olan kanal dosyası tanımlanmış ve artık sorunlara yol açmıyor olsa da, sistemlerini normal operasyonlara geri döndürmekte zorlanan şirketler, bireysel sistemleri, BitLocker Anahtarlarını ve bulut tabanlı ortamları kurtarmak için CrowdStrike’ın talimatlarını takip edebilirler.

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir