CrowdStrike-Warnung: Phishing-Angriffe zielen auf deutsche Kunden
Vor kurzem hat CrowdStrike eine Warnung bezüglich eines unbekannten Bedrohungsakteurs herausgegeben. Laut der CrowdStrike-Warnung zielt der Bedrohungsakteur darauf ab, aus dem CrowdStrike Falcon Sensor-Update Kapital zu schlagen. In diesem Artikel gehen wir auf die Details der Warnung ein und erläutern, wie deutsche Kunden ins Visier genommen wurden. Fangen wir an!
CrowdStrike-Alarm: Spear-Phishing-Kampagne aufgedeckt
Jüngsten Medienberichten über die CrowdStrike-Warnung zufolge bestand das Ziel der Ausnutzung des CrowdStrike Falcon Sensor-Updates darin, bösartige Installationsprogramme zu verteilen. Die Initiative war Teil einer gezielten Kampagne, die sich an deutsche Kunden richtete.
Bei näherer Betrachtung wurde festgestellt, dass die bösartigen Installationsprogramme über eine Website verbreitet wurden, die eine nicht näher benannte deutsche Einrichtung imitierte. Diese Installationsprogramme waren für eine nicht authentische Variante des CrowdStrike Crash Reporter-Installationsprogramms bestimmt.
Es wurde auch bekannt, dass die Website selbst am 20. Juli 2024 erstellt wurde, nur einen Tag nachdem ein Update des Unternehmens zum Absturz von rund 9 Millionen Windows-Geräten geführt hatte. Vier Tage später, am 24. Juli 2024, wurden Spearphishing-Versuche gestartet.
Details zur Spear-Phishing-Kampagne von CrowdStrike
Was die Angriffsdetails des CrowdStrike Falcon Sensor-Exploits betrifft, so wurden die Benutzer zunächst aufgefordert, das bösartige Installationsprogramm herunterzuladen. Wenn jemand auf die Schaltfläche "Herunterladen" klickte, nutzte die Website JavaScript (JS), das JQuery v3.7.1 imitierte. Von hier aus wurde der Download des bösartigen Installationsprogramms gestartet.
Es ist erwähnenswert, dass das Installationsprogramm mit einem Branding versehen war, das Ähnlichkeit mit CrowdStrike hatte, für deutsche Benutzer lokalisiert war und ohne Passwort nicht verwendet werden konnte. Diejenigen, die die schädliche Datei installierten, wurden anschließend aufgefordert, einen "Backend-Server" anzugeben . Da das Installationsprogramm passwortgeschützt war, muss die Kampagne sehr gezielt gewesen sein.
Da die Kampagne sehr zielgerichtet war, müssen die Endnutzer die Eingaben gekannt haben. Ein Auszug aus dem CrowdStrike-Alarm liefert weitere Details über den Angriff:
"Der Bedrohungsakteur scheint sich der Sicherheitspraktiken (OPSEC) sehr bewusst zu sein, da er sich bei dieser Kampagne auf Anti-Forensik-Techniken konzentriert hat. So hat der Akteur beispielsweise eine Subdomain unter der Domäne it[.]com registriert, um eine historische Analyse der Details der Domänenregistrierung zu verhindern. Darüber hinaus wird durch die Verschlüsselung der Inhalte des Installationsprogramms und die Verhinderung weiterer Aktivitäten ohne Passwort eine weitere Analyse und Zuordnung verhindert."
In der Spear-Phishing-Kampagne verwendete Assets
Weitere Details zum CrowdStrike-Alarm bezüglich des Exploits besagen, dass zahlreiche Ressourcen für die Angriffe verwendet wurden. Zu diesen Assets gehören:
- Crowdstrike-office[.]com - eine Phishing-Domäne, auf der bösartige Archivdateien gehostet werden, die zum Ausführen eines Informationsdiebstahlprogramms namens Lumma verwendet werden.
- CrowdStrike Falcom.zip - eine ZIP-Datei mit einem Python-basierten Informationsdiebstahlprogramm, das als Connecio verfolgt wird. Er wird zum Sammeln von externen IP-Adressen, Daten von Webbrowsern, Systeminformationen und mehr verwendet.
- E-Mail zur Behebung von Ausfällen - eine E-Mail-Phishing-Kampagne, die ein Installationsprogramm zum Entpacken und Ausführen einer Datenviper startet.
Schlussfolgerung
Der jüngste CrowdStrike-Alarm unterstreicht die ausgefeilten Taktiken eines neuen Bedrohungsakteurs, der das Update-Fiasko von Falcon Sensor ausnutzt. Die Angreifer zielten mit Spear-Phishing-Kampagnen auf deutsche Kunden und nutzten eine gefälschte Website und bösartige Installationsprogramme, um Systeme zu kompromittieren.
Die Wachsamkeit und die detaillierte Analyse von CrowdStrike verdeutlichen den anhaltenden Kampf gegen Cyber-Bedrohungen. Unter diesen Umständen ist die Implementierung strenger Sicherheitsprotokolle jetzt notwendig, um sich gegen Online-Bedrohungen zu schützen.
Zu den Quellen für den Artikel gehören Artikel in The Hacker News und CrowdStrike.