### การแจ้งเตือน CrowdStrike ของการโจมตีทางไซเบอร์ในละตินอเมริกาหลังจากไฟฟ้าดับ
บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลกออกคำเตือนหลังเหตุการณ์ล่าสุด
ซานฟรานซิสโก 20 กรกฎาคม 2024 — CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำระดับโลกได้ออกคำเตือนเร่งด่วนเกี่ยวกับการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นซึ่งกำหนดเป้าหมายลูกค้าในละตินอเมริกา รวมถึงบราซิล การแจ้งเตือนนี้เกิดขึ้นภายหลังเหตุการณ์ไฟดับทางไซเบอร์ทั่วโลกที่สำคัญซึ่งเป็นผลมาจากบริษัท
ในบล็อกโพสต์อย่างเป็นทางการ CrowdStrike เปิดเผยว่าอาชญากรไซเบอร์กำลังแทรกซึมคอมพิวเตอร์ผ่านไฟล์ที่เป็นอันตรายซึ่งปลอมตัวเป็นการอัปเดตการซ่อมแซมสำหรับซอฟต์แวร์ป้องกันไวรัส Falcon มัลแวร์ชื่อ "crowdstrike-hotfix.zip" ถูกตรวจพบโดยบริการติดตามภัยคุกคามในเม็กซิโก
รายละเอียดของการโจมตี
เมื่อวันที่ 19 กรกฎาคม 2024 CrowdStrike ระบุปัญหาในการอัปเดตเนื้อหาครั้งเดียวของเซ็นเซอร์ CrowdStrike Falcon® ที่ส่งผลต่อระบบปฏิบัติการ Windows การแก้ไขถูกปรับใช้ทันที อย่างไรก็ตาม CrowdStrike Intelligence ได้สังเกตเห็นอาชญากรไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อแจกจ่ายไฟล์ ZIP ที่เป็นอันตราย ไฟล์นี้มีเวอร์ชันของมัลแวร์ HijackLoader ซึ่งเมื่อดำเนินการแล้วจะโหลดโทรจันการเข้าถึงระยะไกล (RAT) ของ RemCos
แคมเปญมัลแวร์ดูเหมือนจะกำหนดเป้าหมายลูกค้า CrowdStrike ในละตินอเมริกา ตามที่ระบุโดยชื่อไฟล์ภาษาสเปนและคำแนะนำภายในไฟล์ ZIP
ข้อแนะนำสำหรับลูกค้าที่ได้รับผลกระทบ
CrowdStrike ขอแนะนำอย่างยิ่งให้ลูกค้าที่ได้รับผลกระทบจากปัญหานี้ให้สื่อสารผ่านช่องทางอย่างเป็นทางการเท่านั้น และปฏิบัติตามหลักเกณฑ์ทางเทคนิคที่ได้รับจากทีมสนับสนุนของพวกเขา บริษัทเน้นย้ำถึงความสำคัญของการระมัดระวังและมีส่วนร่วมกับตัวแทน CrowdStrike ที่ได้รับอนุญาตเท่านั้นเพื่อหลีกเลี่ยงการแสวงหาผลประโยชน์เพิ่มเติม
แถลงการณ์อย่างเป็นทางการจาก CrowdStrike CEO
George Kurtz ผู้ก่อตั้งและซีอีโอของ CrowdStrike กล่าวถึงสถานการณ์ดังกล่าว โดยเรียกร้องให้ลูกค้าตื่นตัวและระมัดระวัง:
"เราตระหนักดีว่าฝ่ายตรงข้ามและผู้ไม่ประสงค์ดีจะพยายามใช้ประโยชน์จากเหตุการณ์เช่นนี้ ผมขอแนะนำให้ทุกคนระมัดระวังตัวและให้แน่ใจว่าพวกเขามีส่วนร่วมกับตัวแทนอย่างเป็นทางการของ CrowdStrike บล็อกและการสนับสนุนทางเทคนิคของเราจะยังคงเป็นช่องทางอย่างเป็นทางการสำหรับการอัปเดตล่าสุด "
ลักษณะของไฟล์ที่เป็นอันตราย
ไฟล์ ZIP ที่เป็นอันตรายกำลังถูกแจกจ่ายภายใต้หน้ากากของวิธีแก้ปัญหาอัตโนมัติสำหรับปัญหาที่เกิดจากการอัพเดตแอนตี้ไวรัส Falcon คำแนะนำที่เขียนเป็นภาษาสเปน แนะนำให้ผู้ใช้เรียกใช้ "Setup.exe" เพื่อเริ่มการติดตั้งแพตช์ อย่างไรก็ตาม การรันไฟล์นี้ส่งผลให้เกิดการแทรกมัลแวร์ HijackLoader
HijackLoader ได้รับการอธิบายว่าเป็นตัวโหลดโมดูลาร์แบบหลายขั้นตอนที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ เมื่อเปิดใช้งานแล้ว ระบบจะดำเนินการเพย์โหลดสุดท้ายของ RemCos โดยสร้างการเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและควบคุมระยะไกล การเชื่อมต่อนี้ทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ติดไวรัสได้อย่างสมบูรณ์ ทำให้พวกเขาสามารถดำเนินกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการขโมยข้อมูล
ผลกระทบและการตอบสนอง
เหตุการณ์ล่าสุดตอกย้ำความซับซ้อนที่เพิ่มขึ้นของการโจมตีทางไซเบอร์และความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง การตอบสนองที่รวดเร็วและการสื่อสารที่โปร่งใสของ CrowdStrike เน้นย้ำถึงบทบาทที่สำคัญของข้อมูลที่ทันท่วงทีและการสนับสนุนในการบรรเทาผลกระทบของเหตุการณ์ดังกล่าว
ในขณะที่ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง องค์กรและบุคคลต่างๆ จะได้รับการเตือนให้ระมัดระวัง ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย และรักษาการสื่อสารกับผู้ให้บริการความปลอดภัยทางไซเบอร์ที่เชื่อถือได้
สำหรับการอัปเดตล่าสุดและการสนับสนุนทางเทคนิค ลูกค้าควรไปที่บล็อกอย่างเป็นทางการและช่องทางการสนับสนุนของ CrowdStrike