資安威脅趨勢 - 駭客以CrowdStrike故障事件發動網路釣魚攻擊和其他惡意活動

                                                                                       

駭客以CrowdStrike故障事件發動網路釣魚攻擊和其他惡意活動

一、摘要

         台灣時間 2024 年 7 月 19 日，CrowdStrike Falcon 內容更新中被發現存在影響 Microsoft Windows 作業系統的缺陷。儘管日前CrowdStrike 和 Microsoft 已經發佈官方修復程式，且已證實這不是安全或網路攻擊，但CrowdStrike官方報導說明，駭客正在利用此事件發動進一步的網路攻擊。

二、存在風險

        台灣時間 2024 年 7 月 19 日，各地傳出EDR系統 CrowdStrike Falcon更新異常導致藍屏當機(BDoS，Blue Screen of Death)的狀況，全球各地不少政府單位及企業組織傳出災情，儘管CrowdStrike 和 Microsoft 已經發佈官方修復程式，但根據CrowdStrike官方與其他相關報導說明，發現仍有駭客正在利用此事件進行網路釣魚和其他惡意活動，其行為包括： 

• 向使用者發送假冒 CrowdStrike 支援的釣魚電子郵件。
• 冒充 CrowdStrike 工作人員致電給使用者。
• 冒充網路安全研究人員，聲稱有證據證明該技術問題與網路攻擊有關，並提供補救見解。
• 佯稱並銷售可以自動從內容更新問題的修復程式碼。
• 散布假冒修復工具的木馬程式。

       另外，亦有發現駭客正在利用此事件嘗試透過多個惡意網域發動進一步的社交工程攻擊，惡意網域列表如下所示：

• crowdstrike[.]phpartners[.]org
• crowdstrike0day[.]com
• crowdstrikebluescreen[.]com
• crowdstrike-bsod[.]com
• crowdstrikeupdate[.]com
• crowdstrikebsod[.]com
• www[.]crowdstrike0day[.]com
• www[.]fix-crowdstrike-bsod[.]com
• crowdstrikeoutage[.]info
• www[.]microsoftcrowdstrike[.]com
• crowdstrikeodayl[.]com
• crowdstrike[.]buzz
• www[.]crowdstriketoken[.]com
• www[.]crowdstrikefix[.]com
• fix-crowdstrike-apocalypse[.]com
• microsoftcrowdstrike[.]com
• crowdstrikedoomsday[.]com
• crowdstrikedown[.]com
• whatiscrowdstrike[.]com
• crowdstrike-helpdesk[.]com
• crowdstrikefix[.]com
• fix-crowdstrike-bsod[.]com
• crowdstrikedown[.]site
• crowdstuck[.]org
• crowdfalcon-immed-update[.]com
• crowdstriketoken[.]com
• crowdstrikeclaim[.]com
• crowdstrikeblueteam[.]com
• crowdstrikefix[.]zip
• crowdstrikereport[.]com

     建議改善措施：

1. 從官方網站提供的修復方法進行系統修復（ CrowdStrike 官方提供的修復方法）。
2.  從可信任來源取得軟件修補程式更新（微軟官方提供的修復工具）。
3. 不應點擊任何不明來歷的連結，例如來自不明電郵內和搜尋引擎的廣告等。
4. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。

        情資報告連結：https://www.hkcert.org/tc/security-bulletin/phishing-alert-phishing-campaigns-and-other-malicious-activities-in-the-theme-of-crowdstrike-outage-event_20240207