Dans Şimdi Başlıyor! Hacklerlar CS Olayı Sonrası Sistemlere Zararlı Dağıtmaya Başladı

Hackerlar CrowdStrike Açığını Kullanıyor

19 Temmuz 2024 tarihinde CrowdStrike Falcon için yapılan bir içerik güncellemesinin Windows işletim sistemlerini etkilediğini belirlenmiş ve hemen bir düzeltme yayınlanmıştı. Ancak saldırganlar bu olayı kullanarak CrowdStrike müşterilerini hedef alarak çeşitli saldırılar gerçekleşitirmeye başladı. Bu faaliyetler arasında, CrowdStrike destek ekibi gibi davranarak müşterilere kimlik avı e-postaları göndermek ve telefon görüşmeleri yaparak müşterileri kandırmak yer alıyor.

LATAM Müşterilerine Hedefli Saldırılar

Saldırganlar bu olayı kullanarak Latin Amerika’daki (LATAM) CrowdStrike müşterilerinin Windows sistemlerini hedefleyen zararlı dosyaları dağıtmaya başladılar.

Teknik Detaylar

The ZIP archive (SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2) contains instructions in Spanish, posing as a utility to fix the content update issue.

Users are prompted to run Setup.exe (SHA256: 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9), which loads HijackLoader via DLL search-order hijacking.

HijackLoader is a modular loader designed to evade detection, and it uses a configuration file named maidenhair.cfg (SHA256: 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6) to execute the final RemCos payload.

The RemCos payload contacts a command-and-control (C2) server at 213.5.130[.]58[:]433.

Tespit ve Tehdit Göstergeleri (IOCs):

CrowdStrike belirtilen etkinlikleri tespit etmek için bir Falcon LogScale sorgusu yayınladı.

// Hunting query for indicators (CSA-240835)
case { in("SHA256HashData", values=["931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6", "c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2", "48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184", "d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea"]); in("RemoteAddressIP4", values=["213.5.130.58"]) } | table([cid, aid, #event_simpleName, ComputerName])

Key IOCs:

File NameSHA256 Hash
crowdstrike-hotfix.zipc44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2
Setup.exe5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9
madBasic_.bpld6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea
maidenhair.cfg931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6
RemCos Payload48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184
RemCos C2 Address213.5.130[.]58[:]443

Kuruluşlar, resmi kanallar aracılığıyla CrowdStrike temsilcileriyle iletişim kurmalı ve CrowdStrike destek ekiplerinin sağladığı teknik rehberliği takip etmelidir.

Exit mobile version