详细内容或原文请订阅后点击阅览
威胁行为者试图利用 CrowdStrike 事件
CrowdStrike 警告称,威胁行为者正在利用他们错误更新导致的最近 IT 中断来分发 Remcos RAT 恶意软件。CrowdStrike 发现威胁行为者试图从网络安全公司错误更新导致的最近 IT 中断中获益,以分发 Remcos RAT 恶意软件。威胁行为者试图分发 Remcos […]
来源:Security Affairs _恶意软件威胁行为者试图利用 CrowdStrike 事件
威胁行为者试图利用 CrowdStrike 事件
CrowdStrike 警告称,威胁行为者正在利用最近由其错误更新导致的 IT 中断来分发 Remcos RAT 恶意软件。
最近的 IT 中断CrowdStrike 发现威胁行为者试图利用最近由网络安全公司的错误更新导致的 IT 中断来分发 Remcos RAT 恶意软件。
最近的 IT 中断 Remcos RAT威胁行为者试图以提供问题紧急修复为幌子,将 Remcos RAT 分发给拉丁美洲网络安全公司的客户。
攻击者试图诱骗该公司的客户打开一个名为“crowdstrike-hotfix.zip”的 ZIP 存档文件。该存档包含一个名为 Hijack Loader 的加载器,用于执行 Remcos RAT。
crowdstrike-hotfix.zip Hijack LoaderHijackLoader 被宣传为一种名为 ASMCrypt 的私人加密服务,是一种模块化、多阶段加载器,旨在逃避检测。
“CrowdStrike Intelligence 此后观察到威胁行为者利用该事件分发一个名为 crowdstrike-hotfix.zip 的恶意 ZIP 存档。ZIP 存档包含一个 HijackLoader 有效负载,执行后会加载 RemCos。值得注意的是,ZIP 存档中的西班牙语文件名和说明表明此活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户。”卡巴斯基在报告中写道。
“CrowdStrike Intelligence 随后观察到威胁行为者利用该事件分发名为 crowdstrike-hotfix.zip 的恶意 ZIP 存档。ZIP 存档包含一个 HijackLoader payload,执行后会加载 RemCos。值得注意的是,ZIP 存档中的西班牙语文件名和说明表明,此活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户。”卡巴斯基在报告中写道。crowdstrike-hotfix.zip
报告
还设置了几个域名抢注域名
Pierluigi Paganini
Pierluigi Paganini @securityaffairs