移至主內容

HKCERT 呼籲公眾提防黑客借近日CrowdStrike系統故障事件進行惡意軟件攻擊

HKCERT 呼籲公眾提防黑客借近日CrowdStrike系統故障事件進行惡意軟件攻擊

(香港,2024 年 7 月 24 日)關於 2024 年 7 月 19 日發生的 CrowdStrike 軟件發生故障事件,香港電腦保安事故協調中心(HKCERT)發現有報道指不法分子不斷演變其攻擊手法,包括使用假冒的 CrowdStrike 恢復手冊、假冒的補救方案及軟件更新來傳送未識別的惡意軟件,可能導致敏感數據洩露、系統崩潰和數據丟失。

根據相關訊息,HKCERT 觀察到黑客在此次事件中利用以下攻擊手法來傳播惡意軟件。

假冒修復手冊

  • 一種新的惡意軟件透過包含巨集的 Word 文件傳播。這些文件假裝是 Microsoft 修復指南來欺騙人們打開它們。一旦打開,巨集會激活並開始竊取像密碼這樣的敏感信息。這些被竊取的信息隨後被發送到攻擊者的伺服器。


假冒補救方案

  • 通過網絡釣魚網站和假冒的內聯網門戶來散播假冒的 CrowdStrike 熱修復程序。假冒的熱修復程序傳送了一個惡意軟件加載器,然後放置了一個可以被黑客控制的遠程訪問工具在受感染的系統上。


假冒 CrowdStrike 更新

  • 網絡釣魚電子郵件包含一個鏈接,下載一個 ZIP 檔案包含了名為 「Crowdstrike.exe」 的可執行檔。受害人執行後,一個 「數據抹除器」 會被提取到 「%Temp%」 文件夾下並啟動,從而摧毀設備上的數據。


HKCERT 呼籲公眾對惡意軟件攻擊提高警惕,並建議用戶應該:

  • 依從官方網站提供的修復方法進行系統修復(例如由 CrowdStrike 提供的修復方法
  • 從可信任來源取得軟件修補程式更新(例如由微軟提供的修復工具
  • 打開從互聯網下載的檔案前,先使用防毒軟件進行掃描
  • 在 IT 裝置遇到技術問題時,應諮詢 IT 專業人員的專業意見
  • 不應點擊任何不明來歷的連結,包括來自不明電郵內和搜尋引擎的廣告等
  • 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊
  • 使用「CyberDefender 守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱


若公眾遭遇惡意軟件攻擊,HKCERT 建議用戶應該:

  • 立即斷開網路以防止惡意軟件進一步傳播
  • 進行全面的系統掃描以識別並刪除任何惡意軟件
  • 從備份(例如外部硬碟)以還原遺失或受損的資料
  • 安裝防毒軟件以防範未來的攻擊


如欲了解更多CrowdStrike 阻斷服務狀況警報的保安公告,請瀏覽HKCERT網頁了解最新消息:

https://www.hkcert.org/tc/security-bulletin/crowdstrike-denial-of-service-vulnerability_20240719

企業或公眾如欲向HKCERT 報告與網絡安全相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線:(852)8105 6060。如有其他疑問,歡迎發電郵至hkcert@hkcert.org 與HKCERT聯絡。

- 完 -