전 세계적으로 윈도우 기기에 결함이 있는 업데이트를 배포해 IT 중단을 야기했다는 비난을 받고 있는 사이버 보안 회사인 CrowdStrike는 이제 위협 행위자들이 핫픽스 제공이라는 명목으로 라틴 아메리카 고객에게 Remcos RAT를 배포하기 위해 상황을 악용하고 있다고 경고했습니다.
공격 체인에는 “crowdstrike-hotfix.zip”이라는 이름의 ZIP 보관 파일을 배포하는 것이 포함되는데, 이 파일에는 Hijack Loader(일명 DOILoader 또는 IDAT Loader)라는 이름의 맬웨어 로더가 포함되어 있으며, 이 로더는 Remcos RAT 페이로드를 실행합니다.
구체적으로, 보관 파일에는 대상에게 문제에서 복구하기 위해 실행 파일(“setup.exe”)을 실행하라는 스페인어 지침이 담긴 텍스트 파일(“instrucciones.txt”)도 포함되어 있습니다.
“특히, ZIP 아카이브 내의 스페인어 파일 이름과 지침은 이 캠페인이 라틴 아메리카(LATAM)에 기반을 둔 CrowdStrike 고객을 타겟으로 할 가능성이 있음을 나타냅니다.”라고 회사 측은 말하며, 이 캠페인을 의심되는 전자 범죄 집단에 기인한다고 밝혔습니다.
CrowdStrike은 금요일에 7월 19일 오전 4시 9분 UTC에 Windows 기기용 Falcon 플랫폼에 푸시된 정기적인 센서 구성 업데이트에서 실수로 블루 스크린(BSoD)을 유발하여 수많은 시스템이 작동하지 않고 기업이 혼란에 빠지게 된 논리 오류가 발생했다는 사실을 인정했습니다.
이 이벤트는 Windows 버전 7.11 이상에서 Falcon 센서를 사용하는 고객에게 영향을 미쳤으며, 이들은 UTC 기준 오전 4시 9분에서 오전 5시 27분 사이에 온라인 상태였습니다.
악의적인 행위자들은 이 이벤트로 인해 발생한 혼란을 이용해 CrowdStrike를 가장한 타이포스쿼팅 도메인을 설정하고 이 문제로 영향을 받은 회사에 암호화폐 지불을 대가로 서비스를 광고하는 데 시간을 낭비했습니다.
영향을 받은 고객은 “공식 채널을 통해 CrowdStrike 담당자와 소통하고 CrowdStrike 지원팀이 제공한 기술 지침을 준수하도록” 권장됩니다.
