PowerDrop البرامج الضارة

أصبحت صناعة الطيران في الولايات المتحدة هدفًا لممثل شرير مجهول الهوية باستخدام برنامج ضار تم اكتشافه حديثًا يعتمد على PowerShell يُعرف باسم PowerDrop. كشف تقرير صادر عن باحثي الأمن السيبراني أن PowerDrop يستخدم طرقًا متطورة لتجنب الاكتشاف ، بما في ذلك الخداع والتشفير والتشفير. في مايو 2023 ، تم اكتشاف البرنامج الضار مزروعًا داخل أنظمة مقاول دفاع جوي أمريكي لم يكشف عنه.

تتجاوز الوظائف المهددة لبرنامج PowerDrop الوصول الأولي وتسمح للتهديد بالعمل كأداة ما بعد الاستغلال. هذا يعني أنه بمجرد وصول المهاجم إلى شبكة الضحية من خلال طرق بديلة ، يتم نشر PowerDrop لجمع معلومات قيمة من الأنظمة المخترقة. هدفها الأساسي هو استخراج البيانات الحساسة وإجراء المراقبة داخل شبكة الضحية. تم نشر تفاصيل حول التهديد من قبل خبراء المعلومات والاتصالات في Adlumin.

تستفيد برامج PowerDrop الضارة من العمليات والأنظمة المشروعة

تستخدم البرامج الضارة رسائل طلب ارتداد بروتوكول رسائل التحكم في الإنترنت (ICMP) كوسيلة لإنشاء اتصال بخادم الأوامر والتحكم (C2). يتيح ذلك للبرامج الضارة بدء عملياتها الضارة.

عند تلقي رسالة طلب ارتداد ICMP ، يستجيب خادم C2 بأمر مشفر ، يتم بعد ذلك فك تشفيره وتنفيذه على المضيف المخترق. لاستخراج نتائج التعليمات المنفذة ، يتم استخدام رسالة ping مماثلة لـ ICMP.

والجدير بالذكر أن تنفيذ أمر PowerShell يتم تسهيله من خلال استخدام خدمة Windows Management Instrumentation (WMI). يشير هذا الاختيار إلى استخدام الخصم المتعمد لأساليب العيش بعيدًا عن الأرض ، بهدف تجنب الاكتشاف من خلال الاستفادة من عمليات النظام المشروعة.

على الرغم من أن الهيكل الأساسي لهذا التهديد قد لا يمتلك تصميمًا معقدًا بطبيعته ، إلا أن قدرته على حجب الأنشطة المشبوهة والتهرب من الاكتشاف بواسطة دفاعات أمنية نهائية تشير إلى تورط جهات تهديد أكثر تطورًا.

يستخدم الفاعلون في مجال التهديد طرقًا متعددة لخرق شبكات الأفراد والشركات

تستخدم الجهات الفاعلة في مجال التهديد أساليب وتقنيات مختلفة للتسلل إلى أنظمة الشركات ، واستغلال نقاط الضعف والضعف داخل البنية التحتية الأمنية للمؤسسة. يمكن أن تكون تقنيات التسلل هذه متنوعة ومعقدة ، وتهدف إلى تجاوز الدفاعات والحصول على وصول غير مصرح به إلى المعلومات الحساسة. تتضمن بعض الطرق الشائعة ما يلي:

• التصيد الاحتيالي والهندسة الاجتماعية: قد يستخدم القائمون بالتهديد أساليب خادعة ، مثل رسائل البريد الإلكتروني المخادعة أو المكالمات الهاتفية ، لخداع الموظفين للإفصاح عن معلومات حساسة ، مثل بيانات اعتماد تسجيل الدخول أو التفاصيل الشخصية. تتلاعب تقنيات الهندسة الاجتماعية بالأفراد للحصول على وصول غير مصرح به إلى أنظمة الشركات.
• البرامج الضارة وبرامج استغلال الثغرات: يمكن للمهاجمين إدخال برامج ضارة من المرحلة الأولى إلى أنظمة الشركة من خلال وسائل مختلفة ، بما في ذلك مرفقات البريد الإلكتروني الضارة أو مواقع الويب المصابة أو البرامج المخترقة. من خلال استغلال نقاط الضعف في البرامج أو الأنظمة ، يمكن للجهات الفاعلة في التهديد الحصول على وصول غير مصرح به والتحكم في البنية التحتية الحيوية.
• هجمات سلسلة التوريد: يمكن للجهات الفاعلة في التهديد استهداف موردي الطرف الثالث أو الموردين ذوي الإجراءات الأمنية الأضعف ، واستغلال الثغرات الأمنية في أنظمتهم للوصول إلى شبكة الشركة. بمجرد دخولهم ، يمكنهم التحرك بشكل جانبي وتصعيد امتيازاتهم.
• هجمات القوة الغاشمة: قد يحاول المهاجمون الوصول إلى أنظمة الشركة من خلال محاولة منهجية لمجموعات عديدة من أسماء المستخدمين وكلمات المرور حتى يكتشفوا بيانات الاعتماد الصحيحة.
• هجمات بروتوكول سطح المكتب البعيد (RDP): تستهدف الجهات المهددة منافذ RDP المكشوفة للحصول على وصول غير مصرح به إلى أنظمة الشركة. قد يستغلون كلمات المرور الضعيفة أو نقاط الضعف في برنامج RDP لخرق الشبكة.
• ثغرات يوم الصفر: تشير ثغرات يوم الصفر إلى ثغرات برمجية غير معروفة يكتشفها ممثلو التهديد قبل أن يتمكن المطورون من تصحيحها. يمكن للمهاجمين استغلال نقاط الضعف هذه للحصول على وصول غير مصرح به إلى أنظمة الشركة.

تعمل الجهات الفاعلة في مجال التهديد على تطوير تقنياتها باستمرار وتبني أساليب جديدة للتسلل إلى أنظمة الشركات. نتيجة لذلك ، يجب على المؤسسات تنفيذ تدابير أمنية شاملة ، بما في ذلك تحديثات البرامج المنتظمة ، وتدريب الموظفين ، وتجزئة الشبكة ، وأنظمة الكشف عن التسلل ، وضوابط الوصول القوية ، للحماية من محاولات التسلل هذه.