警惕伪装成CrowdStrike修复方法相关的钓鱼活动

文章预览

背景 继上周CrowdStrike的“驱动文件”被windows意外载入系统并造成堆栈冲突从而蓝屏死机开始，影响范围不断扩大，上到美国航天局，民航局，下到电影摄影组，医院等等。只要使用windows域控解决方案的企业，并在主控端有CS终端的机器，基本都受影响。在各大“IT专家”着急修复系统死机问题的同时，各大大小小的威胁组织也在伺机发起攻击。上周五我们发现在“暗网”上已有威胁组织公开收集使用CrowdStrike的企业清单和邮箱清单，周六，山石网科情报中心，通过遥测发现针对客户的钓鱼邮件已经开始大批量投递。 活动 本次捕获到伪装成CS更新补丁的 邮件如下，文件HASH： 22e9135a650cd674eb330cbb4a7329c3 当用户点击伪造的合法链接，将会从控制端下载回来一个ZIP包 66fbe2b33e545062a1399a4962b9af4fbbd4b356 ，包含假的CS升级应用程序，并经过层层隐藏调用释放WIPER工 ………………………………