Hackerlar CrowdStrike Açığını Kullanıyor
19 Temmuz 2024 tarihinde CrowdStrike Falcon için yapılan bir içerik güncellemesinin Windows işletim sistemlerini etkilediğini belirlenmiş ve hemen bir düzeltme yayınlanmıştı. Ancak saldırganlar bu olayı kullanarak CrowdStrike müşterilerini hedef alarak çeşitli saldırılar gerçekleşitirmeye başladı. Bu faaliyetler arasında, CrowdStrike destek ekibi gibi davranarak müşterilere kimlik avı e-postaları göndermek ve telefon görüşmeleri yaparak müşterileri kandırmak yer alıyor.
LATAM Müşterilerine Hedefli Saldırılar
Saldırganlar bu olayı kullanarak Latin Amerika’daki (LATAM) CrowdStrike müşterilerinin Windows sistemlerini hedefleyen zararlı dosyaları dağıtmaya başladılar.
Teknik Detaylar
The ZIP archive (SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2) contains instructions in Spanish, posing as a utility to fix the content update issue.
Users are prompted to run Setup.exe (SHA256: 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9), which loads HijackLoader via DLL search-order hijacking.
HijackLoader is a modular loader designed to evade detection, and it uses a configuration file named maidenhair.cfg (SHA256: 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6) to execute the final RemCos payload.
The RemCos payload contacts a command-and-control (C2) server at 213.5.130[.]58[:]433.
Tespit ve Tehdit Göstergeleri (IOCs):
CrowdStrike belirtilen etkinlikleri tespit etmek için bir Falcon LogScale sorgusu yayınladı.
// Hunting query for indicators (CSA-240835)
case { in("SHA256HashData", values=["931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6", "c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2", "48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184", "d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea"]); in("RemoteAddressIP4", values=["213.5.130.58"]) } | table([cid, aid, #event_simpleName, ComputerName])
Key IOCs:
File Name | SHA256 Hash |
---|---|
crowdstrike-hotfix.zip | c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2 |
Setup.exe | 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9 |
madBasic_.bpl | d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea |
maidenhair.cfg | 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6 |
RemCos Payload | 48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184 |
RemCos C2 Address | 213.5.130[.]58[:]443 |
Kuruluşlar, resmi kanallar aracılığıyla CrowdStrike temsilcileriyle iletişim kurmalı ve CrowdStrike destek ekiplerinin sağladığı teknik rehberliği takip etmelidir.