PowerDrop Malware

Den amerikanske luftfartsindustri er blevet målet for en uidentificeret ondskabsfuld aktør, der bruger en nyopdaget PowerShell-baseret malware kendt som PowerDrop. En rapport fra cybersikkerhedsforskere afslører, at PowerDrop bruger sofistikerede metoder til at undgå detektion, herunder bedrag, kodning og kryptering. I maj 2023 blev malwaren opdaget implanteret i en ikke-oplyst amerikansk luftfartsforsvarsfirmas systemer.

De truende funktioner i PowerDrop går ud over den første adgang og tillader truslen at tjene som et post-udnyttelsesværktøj. Det betyder, at når angriberen får adgang til et offers netværk gennem alternative metoder, bliver PowerDrop implementeret for at indsamle værdifuld information fra de kompromitterede systemer. Dens primære mål er at udtrække følsomme data og udføre overvågning inden for ofrets netværk. Detaljer om truslen blev frigivet af infosec-eksperterne hos Adlumin.

PowerDrop-malwaren drager fordel af legitime processer og systemer

Malwaren bruger Internet Control Message Protocol (ICMP) ekkoanmodningsmeddelelser som et middel til at etablere kommunikation med en Command-and-Control-server (C2). Dette gør det muligt for malwaren at starte sine ondsindede operationer.

Efter modtagelse af ICMP ekkoanmodningsmeddelelsen, svarer C2-serveren med en krypteret kommando, som derefter afkodes og udføres på den kompromitterede vært. For at eksfiltrere resultaterne af den udførte instruktion anvendes en lignende ICMP ping-meddelelse.

Navnlig er udførelsen af PowerShell-kommandoen lettet gennem brugen af Windows Management Instrumentation (WMI)-tjenesten. Dette valg indikerer modstanderens bevidste brug af leve-fra-landet-taktik, der sigter mod at undgå opdagelse ved at udnytte legitime systemprocesser.

Selvom kernestrukturen af denne trussel måske ikke har et iboende komplekst design, tyder dens evne til at skjule mistænkelige aktiviteter og unddrage sig opdagelse af endpoint-sikkerhedsforsvar involvering af mere sofistikerede trusselsaktører.

Trusselsaktører bruger flere metoder til at bryde individuelle og virksomhedsnetværk

Trusselsaktører anvender forskellige metoder og teknikker til at infiltrere virksomhedssystemer og udnytte sårbarheder og svagheder i organisationens sikkerhedsinfrastruktur. Disse infiltrationsteknikker kan være forskellige og sofistikerede, med det formål at omgå forsvar og få uautoriseret adgang til følsom information. Nogle almindelige metoder omfatter:

• Phishing og social engineering: Trusselaktører kan bruge vildledende taktikker, såsom phishing-e-mails eller telefonopkald, til at narre medarbejdere til at afsløre følsomme oplysninger, såsom loginoplysninger eller personlige oplysninger. Social engineering-teknikker manipulerer enkeltpersoner til at få uautoriseret adgang til virksomhedens systemer.
• Malware og udnyttelse: Angribere kan introducere malware i første fase i virksomhedens systemer på forskellige måder, herunder ondsindede vedhæftede filer i e-mail, inficerede websteder eller kompromitteret software. Ved at udnytte sårbarheder i software eller systemer kan trusselsaktører få uautoriseret adgang og kontrol over kritisk infrastruktur.
• Supply Chain-angreb: Trusselsaktører kan målrette mod tredjepartsleverandører eller leverandører med svagere sikkerhedsforanstaltninger ved at udnytte sårbarheder i deres systemer for at få adgang til virksomhedens netværk. Når de først er inde, kan de bevæge sig sideværts og eskalere deres privilegier.
• Brute-Force-angreb: Angribere kan forsøge at få adgang til virksomhedens systemer ved systematisk at prøve adskillige kombinationer af brugernavne og adgangskoder, indtil de finder de korrekte legitimationsoplysninger.
• Remote Desktop Protocol (RDP)-angreb: Trusselsaktører retter sig mod udsatte RDP-porte for at få uautoriseret adgang til virksomhedens systemer. De kan udnytte svage adgangskoder eller sårbarheder i RDP-softwaren til at kompromittere netværket.
• Zero-Day Exploits: Zero-day sårbarheder henviser til ukendte softwaresårbarheder, som trusselsaktører opdager, før udviklere kan lappe dem. Angribere kan udnytte disse sårbarheder til at få uautoriseret adgang til virksomhedens systemer.

Trusselsaktører udvikler løbende deres teknikker og vedtager nye metoder til at infiltrere virksomhedssystemer. Som følge heraf skal organisationer implementere omfattende sikkerhedsforanstaltninger, herunder regelmæssige softwareopdateringer, medarbejderuddannelse, netværkssegmentering, indtrængningsdetektionssystemer og robuste adgangskontroller, for at beskytte mod disse infiltrationsforsøg.