詐欺警告！サイバー犯罪者がCrowdStrikeの停止を悪用し、マルウェアを含む修正アップデートを仕掛ける

先週のCrowdStrikeの障害を受けて、サイバー犯罪者はこの機会を利用して、セキュリティベンダーの顧客を狙った一連のソーシャルエンジニアリング攻撃を仕掛けてきた。航空便が混乱し、店舗が閉鎖され、医療施設が影響を受けたこの事件の後、米国、英国、カナダ、オーストラリアの国家サイバーセキュリティ機関はフィッシング活動の急増を報告した。

BforeAI の CEO である Luigi Lenguito 氏によると、CrowdStrike 以降の攻撃は、主要なニュース イベントに続く典型的な攻撃と比べて、著しく多発的で標的を絞ったものとなっている。「先週のトランプ氏への攻撃では、初日に 200 件の関連サイバー脅威が急増しましたが、その後 1 日あたり 40 ～ 50 件に落ち着きました」と Lenguito 氏は指摘する。「今回は 3 倍の急増です。1 日あたり約 150 ～ 300 件の攻撃が見られ、これはニュース関連の攻撃としては通常の量ではありません。」

CrowdStrike をテーマにした詐欺の概要

これらの詐欺の背後にある戦略は明らかです。多くの大企業のユーザーが CrowdStrike のサービスに接続できないため、サイバー犯罪者はこの脆弱性を悪用します。これらの攻撃は標的を絞っているという点で、政治的な出来事に関連したものなど、他のテーマの詐欺とは異なります。被害者は多くの場合、より技術的に熟練しており、サイバーセキュリティに関する知識も豊富です。

攻撃者は、CrowdStrike、関連するテクニカル サポート、さらには競合企業になりすまして独自の「修正プログラム」を提供しています。crowdstrikefix[.]com、crowdstrikeupdate[.]com、www.microsoftcrowdstrike[.]com などのフィッシングやタイポスクワッティングのドメインが出現し、2,000 を超えるドメインが確認されています。

これらのドメインは、その後 RemCos RAT をロードする HijackLoader (別名 IDAT Loader) を含むホットフィックスを装った ZIP ファイルなどのマルウェアを配布するために使用されています。このファイルはメキシコで最初に報告され、スペイン語のファイル名が含まれていたことから、ラテンアメリカの CrowdStrike 顧客を狙っていることが示唆されています。

別の例では、攻撃者は設計の悪い PDF ファイルを添付したフィッシング メールを送信しました。PDF には、実行ファイルを含む ZIP ファイルをダウンロードするためのリンクが含まれていました。実行ファイルを起動すると、更新をインストールする許可を求められましたが、これはワイパーであることが判明しました。ハマス支持のハクティビスト グループ「Handala」が犯行声明を出し、その結果「数十」のイスラエル組織が数テラバイトのデータを失ったと述べています。

これらの脅威から身を守る

組織は、ブロックリストを実装し、保護 DNS ツールを使用し、 CrowdStrike の公式 Web サイトとカスタマー サービス チャネルからのみサポートを受けるようにすることで、自らを守ることができます。Lenguito 氏は、攻撃の急増はまだ初期段階にあるが、今後数週間で減少する可能性が高いと示唆しています。「通常、これらのキャンペーンは 2 ～ 3 週間続きます」と同氏は指摘しています。

組織は、警戒を怠らず、技術サポートについては検証済みのソースに頼ることで、これらの高度で標的を絞ったフィッシング攻撃によってもたらされるリスクを軽減できます。