ITの世界的な混乱を引き起こしたWindowsデバイスへの欠陥アップデートの配信で非難を浴びているサイバーセキュリティ企業CrowdStrikeは、脅威アクターがこの状況を悪用し、ラテンアメリカの顧客に対してRemcos RATを提供するホットフィックスの名目で攻撃を行っていると警告しています。

攻撃チェーンは、「crowdstrike-hotfix.zip」という名前のZIPアーカイブファイルを配布することにより展開されます。このアーカイブには、Hijack Loader（別名DOILoaderまたはIDAT Loader）というマルウェアローダーが含まれており、それがRemcos RATペイロードを起動します。

具体的には、このアーカイブファイルには、「instrucciones.txt」というスペイン語の指示書が含まれており、対象者に「setup.exe」という実行ファイルを実行して問題から回復するよう促しています。

「特に、ZIPアーカイブ内のスペイン語のファイル名と指示は、このキャンペーンがラテンアメリカ（LATAM）に拠点を置くCrowdStrikeの顧客を対象としている可能性が高いことを示しています」と同社は述べ、このキャンペーンを疑われるe犯罪グループに帰しています。

金曜日、CrowdStrikeは、7月19日04:09 UTCにWindowsデバイス向けにFalconプラットフォームに配信されたルーチンセンサー構成の更新がロジックエラーを引き起こし、ブルースクリーンオブデス（BSoD）を引き起こし、多数のシステムが使用不能になり、企業に混乱をもたらしたことを認めました。

この出来事は、04:09から05:27 UTCの間にオンラインだったWindowsバージョン7.11以上のFalconセンサーを実行している顧客に影響を及ぼしました。

悪意のあるアクターは、この事件によって生じた混乱を利用して、CrowdStrikeを装ったタイプスクワッティングドメインを設定し、暗号通貨の支払いを見返りに問題に直面している企業にサービスを提供することを広告しています。

影響を受けた顧客には、「公式チャネルを通じてCrowdStrikeの担当者と連絡を取り、CrowdStrikeのサポートチームが提供する技術的なガイダンスに従う」ことが推奨されています。

Microsoftは、CrowdStrikeと連携して修復作業を進めており、このデジタルメルトダウンが世界中で850万台のWindowsデバイスを破壊し、全Windowsマシンの1％未満に影響を及ぼしたと述べています。

この出来事は、単一文化のサプライチェーンに依存するリスクを再び浮き彫りにし、おそらく史上最も破壊的なサイバー事件の影響と規模を初めて公式に公開するものです。MacとLinuxデバイスは、この障害の影響を受けませんでした。

「この事件は、私たちの広範なエコシステム—グローバルクラウドプロバイダー、ソフトウェアプラットフォーム、セキュリティベンダー、その他のソフトウェアベンダー、そして顧客—の相互接続性を示しています」とテックジャイアントは述べています。「また、私たち全員が、安全なデプロイメントと災害復旧を優先することの重要性を思い出させるものです。」

アップデート#

Microsoftは、CrowdStrikeの欠陥アップデートによってクラッシュしたWindowsマシンを修復するための新しいリカバリツールをIT管理者に提供しています。

CrowdStrikeもまた、この事件に関するすべての詳細を一括して提供する新しい「Remediation and Guidance Hub」を公開しており、影響を受けたホストを特定し、解決する方法をリストアップしています。その中には、BitLockerで暗号化されたものも含まれます。

この動きは、CrowdStrikeの更新によって未指定の市民技術ラボのすべてのDebian Linuxサーバーが同時にクラッシュし、起動を拒否し、Red HatやRocky Linuxディストリビューションでもカーネルパニックを引き起こすという報告が出てきたことを受けています。