PowerDrop злонамерен софтуер

Аерокосмическата индустрия на САЩ се превърна в мишена на неидентифициран злонамерен актьор, използващ новооткрит злонамерен софтуер, базиран на PowerShell, известен като PowerDrop. Доклад на изследователи по киберсигурност разкрива, че PowerDrop използва сложни методи за избягване на откриване, включително измама, кодиране и криптиране. През май 2023 г. злонамереният софтуер беше открит имплантиран в системите на неразкрит американски изпълнител на аерокосмическа отбрана.

Заплашващите функции на PowerDrop надхвърлят първоначалния достъп и позволяват на заплахата да служи като инструмент след експлоатацията. Това означава, че след като атакуващият влезе в мрежата на жертвата чрез алтернативни методи, PowerDrop се внедрява, за да събере ценна информация от компрометираните системи. Основната му цел е да извлича чувствителни данни и да извършва наблюдение в мрежата на жертвата. Подробности за заплахата бяха публикувани от експертите по информационна сигурност в Adlumin.

Зловреден софтуер PowerDrop се възползва от легитимни процеси и системи

Зловредният софтуер използва съобщения за ехо заявка на протокола за контролни съобщения в Интернет (ICMP) като средство за установяване на комуникация със сървър за командване и управление (C2). Това позволява на злонамерения софтуер да започне своите злонамерени операции.

При получаване на съобщението за ICMP ехо заявка, C2 сървърът отговаря с криптирана команда, която след това се декодира и изпълнява на компрометирания хост. За да се ексфилтрират резултатите от изпълнената инструкция, се използва подобно ICMP ping съобщение.

По-специално, изпълнението на командата PowerShell се улеснява чрез използването на услугата Windows Management Instrumentation (WMI). Този избор показва умишленото използване от страна на противника на тактики за живот извън земята, целящи да избегнат откриването чрез използване на легитимни системни процеси.

Въпреки че основната структура на тази заплаха може да не притежава присъщо сложен дизайн, нейната способност да прикрива подозрителни дейности и да избягва откриването от защитните механизми за сигурност на крайната точка предполага участието на по-сложни участници в заплахата.

Заплахите използват множество методи за проникване в индивидуални и корпоративни мрежи

Актьорите на заплахи използват различни методи и техники за проникване в корпоративни системи, като използват уязвимостите и слабостите в инфраструктурата за сигурност на организацията. Тези техники за проникване могат да бъдат разнообразни и сложни, целящи да заобиколят защитите и да получат неоторизиран достъп до чувствителна информация. Някои често срещани методи включват:

• Фишинг и социално инженерство: Участниците в заплахите могат да използват измамни тактики, като фишинг имейли или телефонни обаждания, за да подмамят служителите да разкрият чувствителна информация, като идентификационни данни за вход или лични данни. Техниките за социално инженерство манипулират хората, за да получат неоторизиран достъп до корпоративните системи.
• Злонамерен софтуер и експлойти: Нападателите могат да въведат злонамерен софтуер на първи етап в корпоративните системи чрез различни средства, включително злонамерени прикачени файлове към имейл, заразени уебсайтове или компрометиран софтуер. Използвайки уязвимостите в софтуера или системите, участниците в заплахата могат да получат неоторизиран достъп и контрол върху критична инфраструктура.
• Атаки във веригата на доставки: Актьорите на заплахи могат да се насочат към доставчици на трети страни или доставчици с по-слаби мерки за сигурност, като използват уязвимостите в техните системи, за да получат достъп до корпоративната мрежа. Веднъж вътре, те могат да се движат странично и да ескалират своите привилегии.
• Атаки с груба сила: Нападателите могат да се опитат да получат достъп до корпоративни системи чрез систематично изпробване на множество комбинации от потребителски имена и пароли, докато открият правилните идентификационни данни.
• Атаки на протокола за отдалечен работен плот (RDP): Актьорите на заплахи се насочват към открити RDP портове, за да получат неоторизиран достъп до корпоративни системи. Те могат да използват слаби пароли или уязвимости в RDP софтуера, за да компрометират мрежата.
• Експлойти от нулев ден: Уязвимостите от нулев ден се отнасят до неизвестни софтуерни уязвимости, които участниците в заплахите откриват, преди разработчиците да могат да ги коригират. Нападателите могат да използват тези уязвимости, за да получат неоторизиран достъп до корпоративни системи.

Актьорите на заплахи непрекъснато развиват своите техники и приемат нови методи за проникване в корпоративни системи. В резултат на това организациите трябва да прилагат всеобхватни мерки за сигурност, включително редовни софтуерни актуализации, обучение на служители, сегментиране на мрежата, системи за откриване на проникване и стабилен контрол на достъпа, за да се предпазят от тези опити за проникване.