Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό PowerDrop

Κακόβουλο λογισμικό PowerDrop

Μέχρι το Mezo το Malware
Μετάφραση σε:
Ελληνικά

Η αεροδιαστημική βιομηχανία των ΗΠΑ έχει γίνει στόχος ενός άγνωστου κακοπροαίρετου ηθοποιού που χρησιμοποιεί ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό που βασίζεται στο PowerShell, γνωστό ως PowerDrop. Μια έκθεση ερευνητών κυβερνοασφάλειας αποκαλύπτει ότι το PowerDrop χρησιμοποιεί εξελιγμένες μεθόδους για να αποφύγει τον εντοπισμό, συμπεριλαμβανομένης της εξαπάτησης, της κωδικοποίησης και της κρυπτογράφησης. Τον Μάιο του 2023, το κακόβουλο λογισμικό ανακαλύφθηκε εμφυτευμένο στα συστήματα ενός άγνωστου εργολάβου αεροδιαστημικής άμυνας των ΗΠΑ.

Οι απειλητικές λειτουργίες του PowerDrop υπερβαίνουν την αρχική πρόσβαση και επιτρέπουν στην απειλή να χρησιμεύσει ως εργαλείο μετά την εκμετάλλευση. Αυτό σημαίνει ότι μόλις ο εισβολέας αποκτήσει είσοδο στο δίκτυο του θύματος μέσω εναλλακτικών μεθόδων, το PowerDrop αναπτύσσεται για τη συλλογή πολύτιμων πληροφοριών από τα παραβιασμένα συστήματα. Πρωταρχικός του στόχος είναι η εξαγωγή ευαίσθητων δεδομένων και η παρακολούθηση εντός του δικτύου του θύματος. Λεπτομέρειες σχετικά με την απειλή δόθηκαν στη δημοσιότητα από τους ειδικούς της infosec στο Adlumin.

Το κακόβουλο λογισμικό PowerDrop εκμεταλλεύεται τις νόμιμες διαδικασίες και συστήματα

Το κακόβουλο λογισμικό χρησιμοποιεί μηνύματα αίτησης ηχούς του Πρωτοκόλλου Ελέγχου Μηνυμάτων Διαδικτύου (ICMP) ως μέσο για τη δημιουργία επικοινωνίας με έναν διακομιστή Command-and-Control (C2). Αυτό επιτρέπει στο κακόβουλο λογισμικό να ξεκινήσει τις κακόβουλες λειτουργίες του.

Με τη λήψη του μηνύματος αίτησης ηχούς ICMP, ο διακομιστής C2 αποκρίνεται με μια κρυπτογραφημένη εντολή, η οποία στη συνέχεια αποκωδικοποιείται και εκτελείται στον παραβιασμένο κεντρικό υπολογιστή. Για την εξαγωγή των αποτελεσμάτων της εκτελεσθείσας εντολής, χρησιμοποιείται ένα παρόμοιο μήνυμα ping ICMP.

Συγκεκριμένα, η εκτέλεση της εντολής PowerShell διευκολύνεται μέσω της χρήσης της υπηρεσίας Windows Management Instrumentation (WMI). Αυτή η επιλογή υποδηλώνει τη σκόπιμη χρήση των τακτικών που ζουν εκτός της γης από τον αντίπαλο, με στόχο να αποφύγει τον εντοπισμό αξιοποιώντας νόμιμες διαδικασίες του συστήματος.

Αν και η βασική δομή αυτής της απειλής μπορεί να μην έχει εγγενώς πολύπλοκο σχεδιασμό, η ικανότητά της να κρύβει ύποπτες δραστηριότητες και να αποφεύγει τον εντοπισμό από τις άμυνες ασφαλείας τελικού σημείου υποδηλώνει τη συμμετοχή πιο εξελιγμένων παραγόντων απειλής.

Οι φορείς απειλών χρησιμοποιούν πολλαπλές μεθόδους για να παραβιάσουν τα μεμονωμένα και εταιρικά δίκτυα

Οι φορείς απειλών χρησιμοποιούν διάφορες μεθόδους και τεχνικές για να διεισδύσουν στα εταιρικά συστήματα, εκμεταλλευόμενοι τα τρωτά σημεία και τις αδυναμίες στην υποδομή ασφαλείας του οργανισμού. Αυτές οι τεχνικές διείσδυσης μπορεί να είναι ποικίλες και περίπλοκες, με στόχο να παρακάμψουν τις άμυνες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες. Μερικές κοινές μέθοδοι περιλαμβάνουν:

  • Ψάρεμα και Κοινωνική Μηχανική: Οι φορείς απειλών ενδέχεται να χρησιμοποιήσουν παραπλανητικές τακτικές, όπως ηλεκτρονικό ψάρεμα ή τηλεφωνικές κλήσεις, για να εξαπατήσουν τους υπαλλήλους να αποκαλύψουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή προσωπικά στοιχεία. Οι τεχνικές κοινωνικής μηχανικής χειραγωγούν άτομα για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα εταιρικά συστήματα.
  • Κακόβουλο λογισμικό και εκμεταλλεύσεις: Οι εισβολείς μπορούν να εισαγάγουν κακόβουλο λογισμικό πρώτου σταδίου στα εταιρικά συστήματα μέσω διαφόρων μέσων, συμπεριλαμβανομένων κακόβουλων συνημμένων ηλεκτρονικού ταχυδρομείου, μολυσμένων ιστοσελίδων ή παραβιασμένου λογισμικού. Εκμεταλλευόμενοι τα τρωτά σημεία σε λογισμικό ή συστήματα, οι φορείς απειλών μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και έλεγχο σε κρίσιμες υποδομές.
  • Επιθέσεις εφοδιαστικής αλυσίδας: Οι παράγοντες απειλών μπορούν να στοχεύσουν τρίτους προμηθευτές ή προμηθευτές με ασθενέστερα μέτρα ασφαλείας, εκμεταλλευόμενοι τις ευπάθειες στα συστήματά τους για να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο. Μόλις μπουν μέσα, μπορούν να κινηθούν πλευρικά και να κλιμακώσουν τα προνόμιά τους.
  • Επιθέσεις Brute-Force: Οι εισβολείς μπορεί να επιχειρήσουν να αποκτήσουν πρόσβαση σε εταιρικά συστήματα δοκιμάζοντας συστηματικά πολλούς συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης μέχρι να ανακαλύψουν τα σωστά διαπιστευτήρια.
  • Επιθέσεις Remote Desktop Protocol (RDP): Οι φορείς απειλών στοχεύουν εκτεθειμένες θύρες RDP για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα. Ενδέχεται να εκμεταλλευτούν αδύναμους κωδικούς πρόσβασης ή ευπάθειες στο λογισμικό RDP για να παραβιάσουν το δίκτυο.
  • Zero-Day Exploits: Οι ευπάθειες Zero-day αναφέρονται σε άγνωστες ευπάθειες λογισμικού που ανακαλύπτουν οι φορείς απειλών προτού οι προγραμματιστές μπορέσουν να τις επιδιορθώσουν. Οι εισβολείς μπορούν να εκμεταλλευτούν αυτά τα τρωτά σημεία για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα.

Οι φορείς απειλών εξελίσσουν συνεχώς τις τεχνικές τους και υιοθετούν νέες μεθόδους για να διεισδύσουν στα εταιρικά συστήματα. Ως αποτέλεσμα, οι οργανισμοί πρέπει να εφαρμόζουν ολοκληρωμένα μέτρα ασφαλείας, συμπεριλαμβανομένων τακτικών ενημερώσεων λογισμικού, εκπαίδευσης εργαζομένων, τμηματοποίησης δικτύου, συστημάτων ανίχνευσης εισβολών και ισχυρών ελέγχων πρόσβασης, για προστασία από αυτές τις προσπάθειες διείσδυσης.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...