CrowdStrike waarschuwt voor een onbekende dreigingsactor die probeert te profiteren van de Falcon Sensor-update-crisis om verdachte installatieprogramma’s te verspreiden die gericht zijn op Duitse klanten als onderdeel van een zeer gerichte campagne.
Het cybersecuritybedrijf zei dat het op 24 juli 2024 een poging tot spear-phishing had geïdentificeerd waarvan de toeschrijving onbekend was. Hierbij werd een nep-installatieprogramma van CrowdStrike Crash Reporter verspreid via een website die zich voordeed als een niet nader genoemde Duitse entiteit.
De nepwebsite zou op 20 juli zijn gemaakt, een dag nadat de mislukte update bijna 9 miljoen Windows-apparaten had laten crashen, wat leidde tot grote IT-storingen over de hele wereld.
“Nadat de gebruiker op de knop Downloaden klikt, maakt de website gebruik van JavaScript (JS) dat zich voordoet als JQuery v3.7.1 om het installatieprogramma te downloaden en te deobfusceren”, aldus het Counter Adversary Operations-team van CrowdStrike.
“Het installatieprogramma bevat CrowdStrike-branding, Duitse lokalisatie en een wachtwoord is vereist om de installatie van de malware voort te zetten.”
De spearphishingpagina bevatte specifiek een downloadlink naar een ZIP-archiefbestand met een kwaadaardig InnoSetup-installatieprogramma. De schadelijke code die het uitvoerbare bestand aanstuurde, was geïnjecteerd in een JavaScript-bestand met de naam ‘jquery-3.7.1.min.js’, kennelijk in een poging om detectie te omzeilen.
Gebruikers die uiteindelijk de valse installer starten, worden vervolgens gevraagd om een ”Backend-Server” in te voeren om verder te gaan. CrowdStrike zei dat het de uiteindelijke payload die via de installer was geïmplementeerd, niet kon herstellen.
De campagne wordt als zeer gericht beoordeeld vanwege het feit dat de installer met een wachtwoord is beveiligd en invoer vereist die waarschijnlijk alleen bekend is bij de beoogde entiteiten. Bovendien suggereert de aanwezigheid van de Duitse taal dat de activiteit is gericht op Duitstalige CrowdStrike-klanten.
“De aanvaller lijkt zich zeer bewust te zijn van de operationele veiligheidspraktijken (OPSEC), aangezien ze zich tijdens deze campagne hebben gericht op anti-forensische technieken”, aldus CrowdStrike.
“De actor heeft bijvoorbeeld een subdomein geregistreerd onder het domein it(.)com, waardoor historische analyse van de domeinregistratiegegevens wordt voorkomen. Bovendien sluit het versleutelen van de inhoud van het installatieprogramma en het voorkomen van verdere activiteit zonder wachtwoord verdere analyse en toeschrijving uit.”
De ontwikkeling komt te midden van een golf van phishingaanvallen die misbruik maken van het CrowdStrike-updateprobleem om stealer-malware te verspreiden –
- Een phishingdomein crowdstrike-office365(.)com dat frauduleuze archiefbestanden host die een Microsoft Installer (MSI)-lader bevatten die uiteindelijk een informatiedief genaamd Lumma uitvoert.
- Een ZIP-bestand (“CrowdStrike Falcon.zip”) dat een op Python gebaseerde informatiedief bevat die wordt gevolgd als Connecio. Deze verzamelt systeemgegevens, externe IP-adressen en gegevens van verschillende webbrowsers en exfiltreert deze naar SMTP-accounts die op een Pastebin dead-drop URL staan.
Donderdag zei George Kurtz, CEO van CrowdStrike, dat 97% van de Windows-apparaten die offline waren gegaan tijdens de wereldwijde IT-storing, nu weer operationeel zijn.
“Bij CrowdStrike is het onze missie om uw vertrouwen te verdienen door uw activiteiten te beschermen. Ik vind het heel erg voor de verstoring die deze storing heeft veroorzaakt en bied mijn persoonlijke excuses aan iedereen die hierdoor is getroffen,” aldus Kurtz. “Hoewel ik geen perfectie kan beloven, kan ik wel een reactie beloven die gericht, effectief en met een gevoel van urgentie is.”
Eerder bood Shawn Henry, de hoofdbeveiligingsfunctionaris van het bedrijf, zijn excuses aan omdat het bedrijf er niet in was geslaagd “goede mensen te beschermen tegen slechte dingen” en dat het “de mensen die we juist hadden beloofd te beschermen, in de steek had gelaten”.
“Het vertrouwen dat we in druppels hebben opgebouwd door de jaren heen, was binnen enkele uren in emmers verdwenen en het was een klap in ons gezicht,” erkende Henry. “We zijn toegewijd om uw vertrouwen opnieuw te verdienen door de bescherming te bieden die u nodig hebt om de tegenstanders die u aanvallen te verstoren. Ondanks deze tegenslag, blijft de missie voortduren.”
Ondertussen heeft Bitsight een analyse gemaakt van de verkeerspatronen van CrowdStrike-machines binnen organisaties wereldwijd. Hieruit zijn twee ‘interessante’ gegevenspunten naar voren gekomen die volgens het bedrijf nader onderzoek rechtvaardigen.
“Ten eerste was er op 16 juli rond 22:00 uur een enorme verkeerspiek, gevolgd door een duidelijke en significante daling in uitgaand verkeer van organisaties naar CrowdStrike,” aldus beveiligingsonderzoeker Pedro Umbelino. “Ten tweede was er een significante daling, tussen de 15% en 20%, in het aantal unieke IP’s en organisaties die verbonden waren met CrowdStrike Falcon-servers, na het aanbreken van de 19e.”
“Hoewel we niet kunnen achterhalen waaraan de verandering in verkeerspatronen op de 16e is toe te schrijven, is het wel aanleiding om de fundamentele vraag te stellen: ‘Is er een verband tussen de waarnemingen op de 16e en de stroomstoring op de 19e?'”
