การโจมตีด้วยโปรแกรมติดตั้ง Fake Falcon Crash Reporter มุ่งเป้าลูกค้า CrowdStrike ในเยอรมัน

270/67 (IT) ประจำวันอังคารที่ 30 กรกฎาคม 2567

เมื่อวันที่ 24 กรกฎาคม 2024 ทีมผู้เชี่ยวชาญของ CrowdStrike ได้ออกคำเตือนเกี่ยวกับกลุ่มภัยคุกคามใหม่ที่มุ่งเป้าไปยังลูกค้าชาวเยอรมัน โดยใช้ประโยชน์จากปัญหาล่าสุดที่เกี่ยวกับการอัปเดต Falcon Sensor ซึ่งทีมผู้เชี่ยวชาญของ CrowdStrike ได้ตรวจพบแคมเปญ spear-phishing ที่กลุ่มได้จัดทำเว็บไซต์ปลอมลอกเลียนแบบองค์กรในเยอรมันเพื่อแจกจ่ายโปรแกรมติดตั้ง CrowdStrike Crash Reporter ปลอม โดยเว็บไซต์ดังกล่าวได้ถูกลงทะเบียนเมื่อวันที่ 20 กรกฎาคม 2024 หลังจากที่ CrowdStrike ได้รายงานปัญหาเกี่ยวกับการอัปเดต Falcon Sensor และถูกใช้เพื่อแจกจ่าย JavaScript ที่ปลอมเป็น JQuery เพื่อดาวน์โหลดและถอดรหัสโปรแกรมติดตั้ง

หน้า spear-phishing ที่โฮสต์บน URL ในรูปแบบ http[:]//{German Entity}.it[.]com/crowdstrike/ นี้ จะมีลิงก์ดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมติดตั้ง InnoSetup ที่เป็นอันตราย ซึ่งโปรแกรมติดตั้งนี้จะ inject ไฟล์ปฏิบัติการเข้าไปในไฟล์ JavaScript ที่ชื่อ “jquery-3.7.1.min.js” เพื่อหลีกเลี่ยงการตรวจจับ เมื่อโปรแกรมติดตั้งถูกเรียกใช้งาน ลูกค้าจะถูกขอให้ใส่ “Backend-Server” เพื่อทำการติดตั้งให้เสร็จสมบูรณ์ หากไม่สามารถให้ข้อมูลที่ถูกต้องได้ จะมีข้อความแสดงข้อผิดพลาดว่า “เกิดข้อผิดพลาดการเชื่อมต่อ” (เป็นภาษาเยอรมัน) ซึ่งจะทำให้การติดตั้งไม่สมบูรณ์    

CrowdStrike รายงานว่าโปรแกรมติดตั้ง InnoSetup ถูกป้องกันด้วยรหัสผ่านและมีสคริปต์ (install_script.iss) และไฟล์ทั้งสอง (csmon8.dat และ Java8Runtime.exe) ขณะที่ payload สุดท้ายยังไม่ถูกกู้คืน โปรแกรมติดตั้ง InnoSetup มีการสร้างไฟล์ในวันที่ 12 กรกฎาคม 2024 ซึ่งใกล้กับวันที่อัปเดต Falcon Sensor เมื่อวันที่ 19 กรกฎาคม 2024 ที่มีความสอดคล้องกันชี้ให้เห็นว่ากลุ่มของผู้โจมตีอาจจะใช้เทคนิคการแก้ไขวันที่ไฟล์ (timestomping) เพื่อปิดบังวันที่สร้างไฟล์และหลีกเลี่ยงการตรวจจับ โดย CrowdStrike เชื่อว่าแคมเปญนี้มีความเฉพาะเจาะจงสูง และกลุ่มผู้โจมตีจะมีความตระหนักเกี่ยวกับการปฏิบัติการรักษาความปลอดภัย (OPSEC) สูง โดยการจดทะเบียนซับโดเมนภายใต้โดเมน it[.]com และการเข้ารหัสของโปรแกรมติดตั้ง ทำให้การวิเคราะห์และการสืบสวนทำได้ยาก

แหล่งข่าว https://securityaffairs.com/166256/hacking/fake-crowdstrike-falcon-crash-reporter-installer.html