A CrowdStrike está alertando sobre um agente de ameaça desconhecido tentando capitalizar o fiasco da atualização do Falcon Sensor para distribuir instaladores duvidosos visando clientes alemães como parte de uma campanha altamente direcionada.
A empresa de segurança cibernética disse ter identificado o que descreveu como uma tentativa de spear-phishing não atribuída em 24 de julho de 2024, distribuindo um instalador não autêntico do CrowdStrike Crash Reporter por meio de um web site que se passava por uma entidade alemã não identificada.
Dizem que o web site impostor foi criado em 20 de julho, um dia após a atualização malfeita ter travado quase 9 milhões de dispositivos Home windows, causando grandes interrupções de TI em todo o mundo.
“Depois que o usuário clica no botão Obtain, o web site utiliza o JavaScript (JS) que se disfarça como JQuery v3.7.1 para baixar e desofuscar o instalador”, disse a equipe de Operações Anti-Adversário da CrowdStrike.
“O instalador contém a marca CrowdStrike, localização em alemão e uma senha (é) necessária para continuar instalando o malware.”
Especificamente, a página de spear-phishing apresentava um hyperlink de obtain para um arquivo ZIP contendo um instalador malicioso do InnoSetup, com o código malicioso servindo o executável injetado em um arquivo JavaScript chamado “jquery-3.7.1.min.js” em um esforço aparente para evitar a detecção.
Usuários que acabam iniciando o instalador falso são então solicitados a entrar em um “Backend-Server” para prosseguir. A CrowdStrike disse que não conseguiu recuperar o payload last implantado por meio do instalador.
A campanha é avaliada como altamente direcionada devido ao fato de que o instalador é protegido por senha e requer entrada que provavelmente só é conhecida pelas entidades direcionadas. Além disso, a presença do idioma alemão sugere que a atividade é voltada para clientes CrowdStrike de língua alemã.
“O agente da ameaça parece estar muito ciente das práticas de segurança operacional (OPSEC), pois se concentrou em técnicas antiforenses durante esta campanha”, disse a CrowdStrike.
“Por exemplo, o ator registrou um subdomínio sob o domínio it(.)com, impedindo a análise histórica dos detalhes do registro de domínio. Além disso, criptografar o conteúdo do instalador e impedir que outras atividades ocorram sem uma senha impede análises e atribuições posteriores.”
O desenvolvimento ocorre em meio a uma onda de ataques de phishing que aproveitam o problema de atualização do CrowdStrike para propagar malware ladrão –
- Um domínio de phishing crowdstrike-office365(.)com que hospeda arquivos de arquivamento desonestos contendo um carregador do Microsoft Installer (MSI) que, por fim, executa um ladrão de informações de commodities chamado Lumma.
- Um arquivo ZIP (“CrowdStrike Falcon.zip”) que contém um ladrão de informações baseado em Python rastreado como Connecio que coleta informações do sistema, endereços IP externos e dados de vários navegadores da internet e os exfiltra para contas SMTP listadas em um URL de dead-drop do Pastebin.
Na quinta-feira, o CEO da CrowdStrike, George Kurtz, disse que 97% dos dispositivos Home windows que ficaram offline durante a paralisação world de TI agora estão operacionais.
“Na CrowdStrike, nossa missão é ganhar sua confiança protegendo suas operações. Lamento profundamente a interrupção que essa interrupção causou e peço desculpas pessoalmente a todos os afetados”, disse Kurtz. “Embora eu não possa prometer perfeição, posso prometer uma resposta focada, eficaz e com senso de urgência.”
Anteriormente, o diretor de segurança da empresa, Shawn Henry, pediu desculpas por não conseguir “proteger pessoas boas de coisas ruins” e por “decepcionar exatamente as pessoas que nos comprometemos a proteger”.
“A confiança que construímos em gotas ao longo dos anos foi perdida em baldes em poucas horas, e foi um soco no estômago”, Henry reconheceu. “Estamos comprometidos em reconquistar sua confiança, fornecendo a proteção necessária para interromper os adversários que o alvejam. Apesar desse revés, a missão perdura.”
Enquanto isso, a análise da Bitsight dos padrões de tráfego exibidos pelas máquinas CrowdStrike em organizações no mundo todo revelou dois pontos de dados “interessantes” que, segundo ela, justificam uma investigação adicional.
“Primeiramente, em 16 de julho, por volta das 22:00, houve um pico enorme de tráfego, seguido por uma queda clara e significativa no tráfego de saída de organizações para o CrowdStrike”, disse o pesquisador de segurança Pedro Umbelino. “Segundo, houve uma queda significativa, entre 15% e 20%, no número de IPs únicos e organizações conectadas aos servidores CrowdStrike Falcon, após o amanhecer do dia 19.”
“Embora não possamos inferir a que se pode atribuir a causa raiz da mudança nos padrões de tráfego no dia 16, isso justifica a questão elementary de 'Existe alguma correlação entre as observações no dia 16 e a interrupção no dia 19?'”
Atualizar
Embora o impacto complete da interrupção de TI ainda exact ser contabilizado, a empresa de serviços de seguros em nuvem Parametrix Options estima que o evento impactou quase um quarto das empresas da Fortune 500, resultando em uma perda financeira direta de US$ 5,4 bilhões (excluindo a Microsoft), incluindo US$ 1,94 bilhão em perdas para a saúde, US$ 1,15 bilhão para o setor bancário e US$ 0,86 bilhão para o setor de companhias aéreas.
John Cable, vice-presidente de gerenciamento de programas de manutenção e entrega do Home windows, disse que o incidente “ressalta a necessidade de resiliência de missão crítica dentro de cada organização”.
“Essas melhorias devem andar de mãos dadas com melhorias contínuas em segurança e estar em estreita cooperação com nossos muitos parceiros, que também se preocupam profundamente com a segurança do ecossistema do Home windows”, disse Cable, pedindo que as empresas tenham um plano de resposta a grandes incidentes (MIRP) em vigor, façam backups de dados periodicamente, utilizem anéis de implantação e habilitem linhas de base de segurança do Home windows.
Com o software program de detecção e resposta de endpoint (EDR) exigindo acesso em nível de kernel para detectar ameaças no Home windows, o evento disruptivo parece ter tido também o efeito desejado de fazer a Microsoft repensar toda a abordagem.
Redmond disse que recursos alternativos como enclaves de segurança baseados em virtualização (VBS), que foram introduzidos em maio, poderiam ser usados por desenvolvedores terceirizados para criar um “ambiente de computação isolado que não exija que os drivers do modo kernel sejam resistentes a violações”. O Azure Attestation, outra solução de segurança, permite a verificação remota da “confiabilidade de uma plataforma e da integridade dos binários em execução dentro dela”.
