Programari maliciós PowerDrop

La indústria aeroespacial nord-americana s'ha convertit en l'objectiu d'un actor maligne no identificat que utilitza un programari maliciós basat en PowerShell recentment descobert conegut com PowerDrop. Un informe d'investigadors de ciberseguretat revela que PowerDrop utilitza mètodes sofisticats per evitar la detecció, com ara l'engany, la codificació i el xifratge. El maig de 2023, el programari maliciós es va descobrir implantat dins dels sistemes d'un contractista de defensa aeroespacial nord-americà no revelat.

Les funcions amenaçadores de PowerDrop van més enllà de l'accés inicial i permeten que l'amenaça serveixi com a eina posterior a l'explotació. Això significa que una vegada que l'atacant accedeix a la xarxa de la víctima mitjançant mètodes alternatius, PowerDrop es desplega per recopilar informació valuosa dels sistemes compromesos. El seu objectiu principal és extreure dades sensibles i realitzar vigilància dins de la xarxa de la víctima. Els experts en infosec d'Adlumin van donar detalls sobre l'amenaça.

El programari maliciós PowerDrop aprofita els processos i sistemes legítims

El programari maliciós utilitza missatges de sol·licitud d'eco del Protocol de missatges de control d'Internet (ICMP) com a mitjà per establir comunicació amb un servidor d'ordres i control (C2). Això permet que el programari maliciós iniciï les seves operacions malicioses.

En rebre el missatge de sol·licitud d'eco ICMP, el servidor C2 respon amb una ordre xifrada, que després es descodifica i s'executa a l'amfitrió compromès. Per extreure els resultats de la instrucció executada, s'utilitza un missatge de ping ICMP similar.

En particular, l'execució de l'ordre PowerShell es facilita mitjançant la utilització del servei d'instrumentació de gestió de Windows (WMI). Aquesta elecció indica l'ús deliberat per part de l'adversari de tàctiques de vida de la terra, amb l'objectiu d'evadir la detecció aprofitant els processos legítims del sistema.

Tot i que l'estructura bàsica d'aquesta amenaça pot no tenir un disseny inherentment complex, la seva capacitat d'enfosquir activitats sospitoses i eludir la detecció per part de les defenses de seguretat del punt final suggereix la participació d'actors d'amenaça més sofisticats.

Els actors d'amenaça utilitzen diversos mètodes per trencar xarxes individuals i corporatives

Els actors de l'amenaça utilitzen diversos mètodes i tècniques per infiltrar-se en els sistemes corporatius, aprofitant les vulnerabilitats i les debilitats de la infraestructura de seguretat de l'organització. Aquestes tècniques d'infiltració poden ser diverses i sofisticades, amb l'objectiu de saltar les defenses i obtenir accés no autoritzat a informació sensible. Alguns mètodes comuns inclouen:

• Phishing i enginyeria social: els actors de l'amenaça poden utilitzar tàctiques enganyoses, com ara correus electrònics de pesca o trucades telefòniques, per enganyar els empleats perquè revelin informació sensible, com ara credencials d'inici de sessió o dades personals. Les tècniques d'enginyeria social manipulen les persones per obtenir accés no autoritzat als sistemes corporatius.
• Programari maliciós i explotacions: els atacants poden introduir programari maliciós de primera etapa als sistemes corporatius mitjançant diversos mitjans, com ara fitxers adjunts de correu electrònic maliciosos, llocs web infectats o programari compromès. Mitjançant l'explotació de les vulnerabilitats del programari o dels sistemes, els actors de les amenaces poden obtenir accés i control no autoritzats sobre la infraestructura crítica.
• Atacs a la cadena de subministrament: els actors de l'amenaça poden apuntar a proveïdors o proveïdors de tercers amb mesures de seguretat més febles, aprofitant les vulnerabilitats dels seus sistemes per obtenir accés a la xarxa corporativa. Un cop dins, es poden moure lateralment i augmentar els seus privilegis.
• Atacs de força bruta: els atacants poden intentar accedir als sistemes corporatius provant sistemàticament nombroses combinacions de noms d'usuari i contrasenyes fins que descobreixen les credencials correctes.
• Atacs de protocol d'escriptori remot (RDP): els actors de l'amenaça es dirigeixen als ports RDP exposats per obtenir accés no autoritzat als sistemes corporatius. Poden explotar contrasenyes febles o vulnerabilitats del programari RDP per comprometre la xarxa.
• Exploitacions de dia zero: les vulnerabilitats de dia zero es refereixen a vulnerabilitats de programari desconegudes que els actors de l'amenaça descobreixen abans que els desenvolupadors puguin corregir-les. Els atacants poden explotar aquestes vulnerabilitats per obtenir accés no autoritzat als sistemes corporatius.

Els actors de les amenaces evolucionen contínuament les seves tècniques i adopten nous mètodes per infiltrar-se en els sistemes corporatius. Com a resultat, les organitzacions han d'implementar mesures de seguretat integrals, com ara actualitzacions periòdiques de programari, formació dels empleats, segmentació de la xarxa, sistemes de detecció d'intrusions i controls d'accés robustos, per protegir-se d'aquests intents d'infiltració.