语言HKCERT 呼吁公众提防黑客借近日CrowdStrike系统故障事件进行恶意软件攻击
(香港,2024 年 7 月 24 日)关于 2024 年 7 月 19 日发生的 CrowdStrike 软件发生故障事件,香港电脑保安事故协调中心(HKCERT)发现有报道指不法分子不断演变其攻击手法,包括使用假冒的 CrowdStrike 恢復手册、假冒的补救方案及软件更新来传送未识别的恶意软件,可能导致敏感数据洩露、系统崩溃和数据丢失。
根据相关讯息,HKCERT 观察到黑客在此次事件中利用以下攻击手法来传播恶意软件。
假冒修復手册
- 一种新的恶意软件透过包含巨集的 Word 文件传播。这些文件假装是 Microsoft 修復指南来欺骗人们打开它们。一旦打开,巨集会激活并开始窃取像密码这样的敏感信息。这些被窃取的信息随后被发送到攻击者的伺服器。
假冒补救方案
- 通过网络钓鱼网站和假冒的内联网门户来散播假冒的 CrowdStrike 热修復程序。假冒的热修復程序传送了一个恶意软件加载器,然后放置了一个可以被黑客控制的远程访问工具在受感染的系统上。
假冒 CrowdStrike 更新
- 网络钓鱼电子邮件包含一个链接,下载一个 ZIP 档案包含了名为 「Crowdstrike.exe」 的可执行档。受害人执行后,一个 「数据抹除器」 会被提取到 「%Temp%」 文件夹下并启动,从而摧毁设备上的数据。
HKCERT 呼吁公众对恶意软件攻击提高警惕,并建议用户应该:
- 依从官方网站提供的修復方法进行系统修復(例如由 CrowdStrike 提供的修復方法)
- 从可信任来源取得软件修补程式更新(例如由微软提供的修復工具)
- 打开从互联网下载的档案前,先使用防毒软件进行扫描
- 在 IT 装置遇到技术问题时,应谘询 IT 专业人员的专业意见
- 不应点击任何不明来历的连结,包括来自不明电邮内和搜寻引擎的广告等
- 在浏览器上设定反钓鱼网站功能以助阻挡钓鱼攻击
- 使用「CyberDefender 守网者」的「防骗视伏器」,通过检查电邮地址、网址和IP地址等,来辨识诈骗及网络陷阱
若公众遭遇恶意软件攻击,HKCERT 建议用户应该:
- 立即断开网路以防止恶意软件进一步传播
- 进行全面的系统扫描以识别并删除任何恶意软件
- 从备份(例如外部硬碟)以还原遗失或受损的资料
- 安装防毒软件以防范未来的攻击
如欲了解更多CrowdStrike 阻断服务状况警报的保安公告,请浏览HKCERT网页了解最新消息:
https://www.hkcert.org/tc/security-bulletin/crowdstrike-denial-of-service-vulnerability_20240719
企业或公众如欲向HKCERT 报告与网络安全相关的事故,可以填写网上表格:https://www.hkcert.org/zh/incident-reporting 或致电24小时热线:(852)8105 6060。如有其他疑问,欢迎发电邮至hkcert@hkcert.org 与HKCERT联络。
- 完 -
紧贴我们
订阅生产力局电子报
透过电邮取得本局的最新资讯
请即注册