文章预览
背景 继上周CrowdStrike的“驱动文件”被windows意外载入系统并造成堆栈冲突从而蓝屏死机开始,影响范围不断扩大,上到美国航天局,民航局,下到电影摄影组,医院等等。只要使用windows域控解决方案的企业,并在主控端有CS终端的机器,基本都受影响。在各大“IT专家”着急修复系统死机问题的同时,各大大小小的威胁组织也在伺机发起攻击。上周五我们发现在“暗网”上已有威胁组织公开收集使用CrowdStrike的企业清单和邮箱清单,周六,山石网科情报中心,通过遥测发现针对客户的钓鱼邮件已经开始大批量投递。 活动 本次捕获到伪装成CS更新补丁的 邮件如下,文件HASH: 22e9135a650cd674eb330cbb4a7329c3 当用户点击伪造的合法链接,将会从控制端下载回来一个ZIP包 66fbe2b33e545062a1399a4962b9af4fbbd4b356 ,包含假的CS升级应用程序,并经过层层隐藏调用释放WIPER工
………………………………