TTL OSINT

Установленный вредоносный код Falcon Crash Reporter, не соответствующий действительности, был распространен среди немецких компаний через веб-сайт для фишинга

24 июля 2024 года CrowdStrike Intelligence выявила попытку вредоносного фишинга, направленную на немецкую компанию, которая предоставляла недостоверную программу установки CrowdStrike Crash Reporter через веб-сайт, выдававший себя за компанию. Веб-сайт, зарегистрированный у регистратора поддоменов, скорее всего, был создан 20 июля 2024 года, через день после того, как была обнаружена проблема в одном обновлении контента для датчика Falcon от CrowdStrike и было внедрено исправление. Установщик, содержащий фирменный знак CrowdStrike и немецкую локализацию, защищен паролем и содержит скрипт InnoSetup и два дополнительных файла. Злоумышленник использовал методы защиты от криминалистической проверки, такие как установка временных меток и шифрование содержимого установщика, чтобы предотвратить дальнейший анализ и установление авторства. На момент публикации отчета окончательная полезная нагрузка оставалась неизвестной. На странице для подводной охоты отображался бренд целевой компании и CrowdStrike, предлагающий жертве загрузить CrowdStrike Crash Reporter, инструмент, не разработанный CrowdStrike и не распространяемый по официальным каналам связи CrowdStrike. Атака, скорее всего, является целенаправленной, поскольку злоумышленник был осведомлен о методах работы OPSEC и использовал методы борьбы с криминалистикой во время кампании. Чтобы защититься от этой активности, CrowdStrike Intelligence рекомендует выполнить предоставленные рекомендации и использовать предоставленные запросы Falcon LogScale и IOCs для обнаружения и устранения подобных угроз.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.crowdstrike.com/blog/malicious-inauthentic-falcon-crash-reporter-installer-spearphishing/

Выборочные показатели Compromise:

• 99bb0f05fd135218a5c4b8cac42e58274086b543d001d7227c8f6a2b7722f425
• https://developer.mozilla.org/en-US/docs/Web/API/Blob
• https://github.com/jrsoftware/issrc
• 80304da1e333ed581378797ad8b0b8d81a8ac5928b83423702f0de30f1616225
• 41143b2e4bbb9279ba0bbb375748530cc4887cc965967e5c0cc9a39dc44937d6

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал