CrowdStrikeカオスに乗じるハッカーら、偽フィックス使いRemcos RATやワイパーの配布試みる
(情報源:The Register, BleepingComputer, The Hacker News, The Register)
先週金曜、CrowdStrike(クラウドストライク)のコンテンツアップデートの欠陥により大規模なIT障害が発生。世界各地でフライトのキャンセルや企業における業務の中断、医療サービスの提供停止といった影響が生じた。障害発生自体はサイバー攻撃によるものではなかったものの、この「CrowdStrikeカオス」を早速利用した脅威アクターたちにとって、フィッシングやマルウェア配布などの不法行為が実施されているという。
障害発生のわずか数時間後には詐欺メールの報告が
The Registerによれば、世界各地のWindowsマシンで「ブルースクリーン」が多発したわずか数時間後には、この障害をルアーとして用いた詐欺メールの報告が上がり始めたという。例えばSANSの研究者Johannes Ullrich氏は、「CrowdStrike Support」や「CrowdStrike Security」を送信元と偽ったフィッシングメールが出回っている可能性があるとの報告を目にしたと語っている。またSNS上などでは、「crowdfalcon-immed-update [ .] com」などの不審なドメインの出現が複数報告された。セキュリティ研究者らの報告によれば、こうしたサイトの中には、障害を解消するフィックスの提供と引き換えにビットコインやPayPalでの「寄付」を要求するものがあったとされる。
※なお、本物のCrowdStrikeは無償でサポートを提供している。
偽ホットフィックスによるRemcos RATの配布
土曜日には、CrowdStrikeの偽ホットフィックスアップデートを使ってRemcos RATを配布しようとするマルウェアキャンペーンを、セキュリティ研究者が報告。これはスペインの大手銀行ビルバオ・ビスカヤ・アルヘンタリア銀行(BBVA)の顧客を狙ったもので、BBVAのイントラネットポータル「portalintranetgrupobbva[.]com」を模倣したフィッシングサイトで偽のホットフィックス(ZIPアーカイブ)が宣伝されていたという。
この悪意あるZIPアーカイブファイル「crowdstrike-hotfix.zip」には、マルウェアローダー「Hijack Loader」が含まれており、このローダーによってRemcos RATペイロードが実行されるようになっていた。またアーカイブファイルにはテキストファイル「instrucciones.txt」も含まれており、これにはユーザーに実行ファイル(setup.exe)を走らせるよう促す内容のスペイン語の指示が記載されている。CrowdStrike自身はこのキャンペーンについて、「ラテンアメリカを拠点とする CrowdStrikeの顧客」を狙っている可能性が高いと述べた。
偽アップデートによるデータワイパーの配布
AnyRunによれば、CrowdStrikeからのアップデート配布に見せかけてデータワイパーマルウェアを配布しようとするキャンペーンも観測されたという。このキャンペーンについては、親イラン派のハクティビストグループ「Handala」が犯行声明を出している。
キャンペーンで使われたのは、「crowdstrike.com.vc」というドメインを用いてCrowdStrike社が送信元かのように見せかけたEメール。これが、複数のイスラエル企業に送信された。Windowsシステムをオンラインに戻すためのツールが完成した旨が記されたこのメールには、悪意あるZIPアーカイブファイルへのリンクと、偽アップデートの実行手順に関するPDFファイルが含まれていたという。アーカイブには「Crowdstrike.exe」という実行ファイルが含まれており、この偽アップデートが実行されるとデータワイパーが呼び出され、デバイス上のデータが破壊される仕組みになっていた。
世界で850万台のWindows端末が影響受ける
CrowdStrikeのソフトウェアアップデートにおける欠陥により、世界各地で多数のWindowsシステムに影響が及んだ。マイクロソフトによるとその台数は850万台で、全Windowsマシンに対する割合で言うと1%に満たないほどだったという。パーセンテージは少なく見えるものの、世界中で6,800便以上のフライトが欠航になる、救急サービスが中断する、重大な手術が中止になるなど、その影響はかなり大きかった。なお、マイクロソフトからはUSBで起動可能なシステム修復ツールがリリースされている。