跳转到主要内容

HKCERT 呼吁公众提防黑客借近日CrowdStrike系统故障事件进行恶意软件攻击

HKCERT 呼籲公眾提防黑客借近日CrowdStrike系統故障事件進行惡意軟件攻擊

(香港,2024 年 7 月 24 日)关于 2024 年 7 月 19 日发生的 CrowdStrike 软件发生故障事件,香港电脑保安事故协调中心(HKCERT)发现有报道指不法分子不断演变其攻击手法,包括使用假冒的 CrowdStrike 恢復手册、假冒的补救方案及软件更新来传送未识别的恶意软件,可能导致敏感数据洩露、系统崩溃和数据丢失。

根据相关讯息,HKCERT 观察到黑客在此次事件中利用以下攻击手法来传播恶意软件。

假冒修復手册

  • 一种新的恶意软件透过包含巨集的 Word 文件传播。这些文件假装是 Microsoft 修復指南来欺骗人们打开它们。一旦打开,巨集会激活并开始窃取像密码这样的敏感信息。这些被窃取的信息随后被发送到攻击者的伺服器。


假冒补救方案

  • 通过网络钓鱼网站和假冒的内联网门户来散播假冒的 CrowdStrike 热修復程序。假冒的热修復程序传送了一个恶意软件加载器,然后放置了一个可以被黑客控制的远程访问工具在受感染的系统上。


假冒 CrowdStrike 更新

  • 网络钓鱼电子邮件包含一个链接,下载一个 ZIP 档案包含了名为 「Crowdstrike.exe」 的可执行档。受害人执行后,一个 「数据抹除器」 会被提取到 「%Temp%」 文件夹下并启动,从而摧毁设备上的数据。


HKCERT 呼吁公众对恶意软件攻击提高警惕,并建议用户应该:

  • 依从官方网站提供的修復方法进行系统修復(例如由 CrowdStrike 提供的修復方法
  • 从可信任来源取得软件修补程式更新(例如由微软提供的修復工具
  • 打开从互联网下载的档案前,先使用防毒软件进行扫描
  • 在 IT 装置遇到技术问题时,应谘询 IT 专业人员的专业意见
  • 不应点击任何不明来历的连结,包括来自不明电邮内和搜寻引擎的广告等
  • 在浏览器上设定反钓鱼网站功能以助阻挡钓鱼攻击
  • 使用「CyberDefender 守网者」的「防骗视伏器」,通过检查电邮地址、网址和IP地址等,来辨识诈骗及网络陷阱


若公众遭遇恶意软件攻击,HKCERT 建议用户应该:

  • 立即断开网路以防止恶意软件进一步传播
  • 进行全面的系统扫描以识别并删除任何恶意软件
  • 从备份(例如外部硬碟)以还原遗失或受损的资料
  • 安装防毒软件以防范未来的攻击


如欲了解更多CrowdStrike 阻断服务状况警报的保安公告,请浏览HKCERT网页了解最新消息:

https://www.hkcert.org/tc/security-bulletin/crowdstrike-denial-of-service-vulnerability_20240719

企业或公众如欲向HKCERT 报告与网络安全相关的事故,可以填写网上表格:https://www.hkcert.org/zh/incident-reporting 或致电24小时热线:(852)8105 6060。如有其他疑问,欢迎发电邮至hkcert@hkcert.org 与HKCERT联络。

- 完 -