Multilicenční slevy
Threat Database Malware Malware PowerDrop

Malware PowerDrop

V roce Mezo v roce Malware
Přeložit do:
Čeština

Americký letecký průmysl se stal terčem neidentifikovaného zlomyslného herce, který používá nově objevený malware založený na PowerShell známý jako PowerDrop. Zpráva výzkumníků v oblasti kybernetické bezpečnosti odhaluje, že PowerDrop využívá sofistikované metody, aby se zabránilo detekci, včetně klamání, kódování a šifrování. V květnu 2023 byl objeven malware implantovaný do systémů nezveřejněného amerického dodavatele letecké obrany.

Ohrožující funkce PowerDrop jdou nad rámec počátečního přístupu a umožňují hrozbě sloužit jako nástroj po zneužití. To znamená, že jakmile útočník získá přístup do sítě oběti prostřednictvím alternativních metod, je nasazen PowerDrop, aby shromáždil cenné informace z napadených systémů. Jeho primárním cílem je extrahovat citlivá data a provádět dohled v síti oběti. Podrobnosti o hrozbě zveřejnili experti infosec z Adlumin.

Malware PowerDrop využívá legitimní procesy a systémy

Malware využívá zprávy echo protokolu ICMP (Internet Control Message Protocol) jako prostředek k navázání komunikace se serverem Command-and-Control (C2). To umožňuje malwaru zahájit své škodlivé operace.

Po obdržení zprávy ICMP echo request odpoví server C2 zašifrovaným příkazem, který je poté dekódován a proveden na kompromitovaném hostiteli. K exfiltraci výsledků provedené instrukce se používá podobná zpráva ICMP ping.

Zejména je provádění příkazu PowerShell usnadněno pomocí služby Windows Management Instrumentation (WMI). Tato volba naznačuje, že protivník záměrně používá taktiku žijící mimo pevninu, jejímž cílem je vyhnout se odhalení využitím legitimních systémových procesů.

Ačkoli základní struktura této hrozby nemusí mít ze své podstaty složitý design, její schopnost zakrýt podezřelé aktivity a vyhnout se detekci pomocí ochrany koncových bodů naznačuje zapojení sofistikovanějších aktérů hrozeb.

Aktéři hrozeb používají několik metod k narušení individuálních a firemních sítí

Aktéři hrozeb používají různé metody a techniky k infiltraci podnikových systémů a využívají zranitelnosti a slabiny v rámci bezpečnostní infrastruktury organizace. Tyto techniky infiltrace mohou být rozmanité a sofistikované, jejichž cílem je obejít obranu a získat neoprávněný přístup k citlivým informacím. Některé běžné metody zahrnují:

  • Phishing a sociální inženýrství: Aktéři hrozeb mohou používat klamavé taktiky, jako jsou phishingové e-maily nebo telefonní hovory, aby přiměli zaměstnance k prozrazení citlivých informací, jako jsou přihlašovací údaje nebo osobní údaje. Techniky sociálního inženýrství manipulují jednotlivci, aby získali neoprávněný přístup k firemním systémům.
  • Malware a zneužití: Útočníci mohou zavést malware první fáze do podnikových systémů různými způsoby, včetně škodlivých e-mailových příloh, infikovaných webových stránek nebo kompromitovaného softwaru. Využitím zranitelností v softwaru nebo systémech mohou aktéři hrozeb získat neoprávněný přístup a kontrolu nad kritickou infrastrukturou.
  • Útoky dodavatelského řetězce: Aktéři hrozeb se mohou zaměřovat na dodavatele nebo dodavatele třetích stran se slabšími bezpečnostními opatřeními a zneužívat zranitelnosti ve svých systémech k získání přístupu do podnikové sítě. Jakmile jsou uvnitř, mohou se pohybovat do stran a eskalovat svá privilegia.
  • Útoky hrubou silou: Útočníci se mohou pokusit získat přístup k podnikovým systémům systematickým zkoušením mnoha kombinací uživatelských jmen a hesel, dokud neobjeví správné přihlašovací údaje.
  • Útoky protokolu RDP (Remote Desktop Protocol): Aktéři hrozeb se zaměřují na odhalené porty RDP, aby získali neoprávněný přístup k podnikovým systémům. Mohou zneužít slabá hesla nebo zranitelnosti v softwaru RDP k ohrožení sítě.
  • Zero-Day Exploits: Zero-day zranitelnosti se týkají neznámých softwarových zranitelností, které aktéři hrozeb objeví dříve, než je mohou vývojáři opravit. Útočníci mohou tyto zranitelnosti zneužít k získání neoprávněného přístupu k podnikovým systémům.

Aktéři hrozeb neustále vyvíjejí své techniky a přijímají nové metody k infiltraci podnikových systémů. V důsledku toho musí organizace zavést komplexní bezpečnostní opatření, včetně pravidelných aktualizací softwaru, školení zaměstnanců, segmentace sítě, systémů detekce narušení a robustní kontroly přístupu, aby se ochránily před těmito pokusy o infiltraci.

Související příspěvky

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...