Ένας μέχρι πρότινος άγνωστος παράγοντας απειλών στον κυβερνοχώρο στρέφει την προσοχή του στην αεροδιαστημική βιομηχανία των ΗΠΑ αναπτύσσοντας ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό που βασίζεται στο PowerShell που ονομάζεται PowerDrop . Αυτό το προηγμένο κακόβουλο λογισμικό χρησιμοποιεί διάφορες παραπλανητικές τακτικές, τεχνικές κωδικοποίησης και κρυπτογράφηση για να αποφύγει τον εντοπισμό. Το όνομα "PowerDrop" προέρχεται από την εξάρτησή του από το εργαλείο Windows PowerShell και τη συμβολοσειρά "DROP" (DRP) που είναι ενσωματωμένη στον κώδικά του για padding.
Το PowerDrop είναι ένα εργαλείο μετά την εκμετάλλευση που έχει σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών από παραβιασμένα δίκτυα μετά την απόκτηση μη εξουσιοδοτημένης πρόσβασης μέσω εναλλακτικών μεθόδων. Για να διευθετήσει την επικοινωνία με έναν διακομιστή Command-and-Control (C2), το κακόβουλο λογισμικό χρησιμοποιεί μηνύματα αιτήματος ηχούς του Πρωτοκόλλου Ελέγχου Διαδικτύου (ICMP) ως beacons. Στη συνέχεια, ο διακομιστής C2 αποκρίνεται με κρυπτογραφημένες εντολές που αποκωδικοποιούνται και εκτελούνται στον παραβιασμένο κεντρικό υπολογιστή. Ομοίως, ένα μήνυμα ping ICMP στοχεύει στην εξαγωγή των αποτελεσμάτων αυτών των οδηγιών.
Συγκεκριμένα, το PowerDrop αξιοποιεί την υπηρεσία Windows Management Instrumentation (WMI) για να εκτελέσει τις εντολές PowerShell, δείχνοντας τη χρήση τεχνικών "living-off-the-land" από τον παράγοντα απειλής για την αποφυγή εντοπισμού. Αν και η βασική φύση του κακόβουλου λογισμικού μπορεί να μην είναι εξαιρετικά περίπλοκη, η ικανότητά του να συγκαλύπτει ύποπτες δραστηριότητες και να αποφεύγει τις άμυνες τελικού σημείου υποδηλώνει τη συμμετοχή πιο προηγμένων παραγόντων απειλής.
Πίνακας περιεχομένων
Αποκαλύπτοντας τις τακτικές της επίθεσης Stealthy Malware
Το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα τέθηκε στο φως από ερευνητές ασφαλείας μέσω ενός προηγμένου συστήματος ανίχνευσης μηχανικής μάθησης – ισχυρής τεχνολογίας που ελέγχει το περιεχόμενο των εκτελέσεων σεναρίων PowerShell, επιτρέποντας τον εντοπισμό αυτής της άπιαστης απειλής. Ωστόσο, παρά αυτή την ανακάλυψη, η ακριβής αλυσίδα μόλυνσης και ο αρχικός συμβιβασμός του PowerDrop παραμένουν καλυμμένοι στο μυστήριο.
Οι αναλυτές εικάζουν τις πιθανές μεθόδους που χρησιμοποιούν οι εισβολείς για την ανάπτυξη του σεναρίου PowerDrop. Αυτά περιλαμβάνουν την εκμετάλλευση τρωτών σημείων, τη χρήση ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος για τη στόχευση θυμάτων ή ακόμη και την προσφυγή στην παραπλανητική τακτική των πλαστών ιστότοπων λήψης λογισμικού. Η ακριβής οδός μέσω της οποίας διείσδυσε το PowerDrop στα συστήματα δεν έχει ακόμη καθοριστεί. Για να βελτιωθεί η κρυφή φύση του, το σενάριο κωδικοποιείται χρησιμοποιώντας το Base64, επιτρέποντάς του να λειτουργεί ως backdoor ή Trojan Remote Access (RAT) . Αυτή η εξελιγμένη τεχνική επιτρέπει στο PowerDrop να αποφύγει τον εντοπισμό και να διατηρήσει την επιμονή εντός των παραβιασμένων συστημάτων.
Η εμβάθυνση στα αρχεία καταγραφής του συστήματος αποκαλύπτει κρίσιμες πληροφορίες σχετικά με τον τρόπο λειτουργίας του PowerDrop. Η ανάλυση αποκάλυψε ότι το κακόβουλο σενάριο χρησιμοποίησε αποτελεσματικά προηγουμένως καταχωρημένα φίλτρα συμβάντων WMI και καταναλωτές με το διακριτό όνομα «SystemPowerManager». Το ίδιο το κακόβουλο λογισμικό δημιούργησε αυτόν τον έξυπνα καμουφλαρισμένο μηχανισμό κατά την παραβίαση του συστήματος χρησιμοποιώντας το εργαλείο γραμμής εντολών «wmic.exe».
Η αποκάλυψη των μοναδικών χαρακτηριστικών του PowerDrop ρίχνει φως στην πολυπλοκότητα των σύγχρονων απειλών στον κυβερνοχώρο. Με την ικανότητά του να αποφεύγει τον εντοπισμό και να λειτουργεί κρυφά σε παραβιασμένα συστήματα, το PowerDrop αποτελεί παράδειγμα της συνεχούς εξέλιξης και της εφευρετικότητας των κακόβουλων ηθοποιών στο ψηφιακό τοπίο.
Ένας μέχρι πρότινος άγνωστος παράγοντας απειλών στον κυβερνοχώρο στρέφει την προσοχή του στην αεροδιαστημική βιομηχανία των ΗΠΑ αναπτύσσοντας ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό που βασίζεται στο PowerShell που ονομάζεται PowerDrop. Αυτό το προηγμένο κακόβουλο λογισμικό χρησιμοποιεί διάφορες παραπλανητικές τακτικές, τεχνικές κωδικοποίησης και κρυπτογράφηση για να αποφύγει τον εντοπισμό. Το όνομα "PowerDrop" προέρχεται από την εξάρτησή του από το εργαλείο Windows PowerShell και τη συμβολοσειρά "DROP" (DRP) που είναι ενσωματωμένη στον κώδικά του για padding.
Το PowerDrop είναι ένα εργαλείο μετά την εκμετάλλευση που έχει σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών από παραβιασμένα δίκτυα μετά την απόκτηση μη εξουσιοδοτημένης πρόσβασης μέσω εναλλακτικών μεθόδων. Για να διευθετήσει την επικοινωνία με έναν διακομιστή Command-and-Control (C2), το κακόβουλο λογισμικό χρησιμοποιεί μηνύματα αιτήματος ηχούς του Πρωτοκόλλου Ελέγχου Διαδικτύου (ICMP) ως beacons. Στη συνέχεια, ο διακομιστής C2 αποκρίνεται με κρυπτογραφημένες εντολές που αποκωδικοποιούνται και εκτελούνται στον παραβιασμένο κεντρικό υπολογιστή. Ομοίως, ένα μήνυμα ping ICMP στοχεύει στην εξαγωγή των αποτελεσμάτων αυτών των οδηγιών.
Συγκεκριμένα, το PowerDrop αξιοποιεί την υπηρεσία Windows Management Instrumentation (WMI) για να εκτελέσει τις εντολές του PowerShell, παρουσιάζοντας τη χρήση τεχνικών "living-off-the-land" από τον παράγοντα απειλής για την αποφυγή εντοπισμού. Αν και η βασική φύση του κακόβουλου λογισμικού μπορεί να μην είναι εξαιρετικά περίπλοκη, η ικανότητά του να συγκαλύπτει ύποπτες δραστηριότητες και να αποφεύγει τις άμυνες τελικού σημείου υποδηλώνει τη συμμετοχή πιο προηγμένων παραγόντων απειλής.
Αποκαλύπτοντας τις τακτικές της επίθεσης Stealthy Malware
Το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα ήρθε στο φως από ερευνητές ασφαλείας μέσω ενός προηγμένου συστήματος ανίχνευσης μηχανικής μάθησης – ισχυρής τεχνολογίας που ελέγχει το περιεχόμενο των εκτελέσεων σεναρίων PowerShell, επιτρέποντας τον εντοπισμό αυτής της άπιαστης απειλής. Ωστόσο, παρά αυτή την ανακάλυψη, η ακριβής αλυσίδα μόλυνσης και ο αρχικός συμβιβασμός του PowerDrop παραμένουν καλυμμένοι στο μυστήριο.
Οι αναλυτές εικάζουν τις πιθανές μεθόδους που χρησιμοποιούν οι εισβολείς για την ανάπτυξη του σεναρίου PowerDrop. Αυτά περιλαμβάνουν την εκμετάλλευση τρωτών σημείων, τη χρήση ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing) για τη στόχευση θυμάτων ή ακόμη και την προσφυγή στην παραπλανητική τακτική των πλαστών ιστότοπων λήψης λογισμικού. Η ακριβής οδός μέσω της οποίας διείσδυσε το PowerDrop στα συστήματα δεν έχει ακόμη καθοριστεί. Για να βελτιωθεί η κρυφή φύση του, το σενάριο κωδικοποιείται χρησιμοποιώντας το Base64, επιτρέποντάς του να λειτουργεί ως backdoor ή Trojan Remote Access (RAT). Αυτή η εξελιγμένη τεχνική επιτρέπει στο PowerDrop να αποφύγει τον εντοπισμό και να διατηρήσει την επιμονή εντός των παραβιασμένων συστημάτων.
Η εμβάθυνση στα αρχεία καταγραφής του συστήματος αποκαλύπτει κρίσιμες πληροφορίες σχετικά με τον τρόπο λειτουργίας του PowerDrop. Η ανάλυση αποκάλυψε ότι το κακόβουλο σενάριο χρησιμοποίησε αποτελεσματικά προηγουμένως καταχωρημένα φίλτρα συμβάντων WMI και καταναλωτές με το διακριτό όνομα «SystemPowerManager». Το ίδιο το κακόβουλο λογισμικό δημιούργησε αυτόν τον έξυπνα καμουφλαρισμένο μηχανισμό κατά την παραβίαση του συστήματος χρησιμοποιώντας το εργαλείο γραμμής εντολών «wmic.exe».
Η αποκάλυψη των μοναδικών χαρακτηριστικών του PowerDrop ρίχνει φως στην πολυπλοκότητα των σύγχρονων απειλών στον κυβερνοχώρο. Με την ικανότητά του να αποφεύγει τον εντοπισμό και να λειτουργεί κρυφά σε παραβιασμένα συστήματα, το PowerDrop αποτελεί παράδειγμα της συνεχούς εξέλιξης και της εφευρετικότητας των κακόβουλων ηθοποιών στο ψηφιακό τοπίο.
Η αεροδιαστημική βιομηχανία των ΗΠΑ υπό επίθεση: Η εισαγωγή του νέου κακόβουλου λογισμικού PowerDrop Στιγμιότυπα οθόνης
