تخفیف چند مجوز
Threat Database Malware بدافزار PowerDrop

بدافزار PowerDrop

تا Mezo در Malware
ترجمه به:
فارسی

صنعت هوافضای ایالات متحده با استفاده از بدافزار تازه کشف شده مبتنی بر PowerShell که به نام PowerDrop شناخته می شود، هدف یک بازیگر شیطان صفت ناشناس قرار گرفته است. گزارشی توسط محققان امنیت سایبری نشان می‌دهد که PowerDrop از روش‌های پیچیده‌ای برای جلوگیری از شناسایی، از جمله فریب، رمزگذاری و رمزگذاری استفاده می‌کند. در ماه مه 2023، این بدافزار کاشته شده در سیستم های یک پیمانکار ناشناس دفاع هوافضای ایالات متحده کشف شد.

عملکردهای تهدیدآمیز PowerDrop فراتر از دسترسی اولیه است و به تهدید اجازه می دهد تا به عنوان یک ابزار پس از بهره برداری عمل کند. این بدان معناست که هنگامی که مهاجم از طریق روش های جایگزین وارد شبکه قربانی می شود، PowerDrop برای جمع آوری اطلاعات ارزشمند از سیستم های در معرض خطر مستقر می شود. هدف اصلی آن استخراج داده های حساس و انجام نظارت در شبکه قربانی است. جزئیات این تهدید توسط کارشناسان infosec در Adlumin منتشر شد.

بدافزار PowerDrop از فرآیندها و سیستم های قانونی استفاده می کند

این بدافزار از پیام های درخواست پژواک پروتکل پیام کنترل اینترنت (ICMP) به عنوان وسیله ای برای برقراری ارتباط با یک سرور Command-and-Control (C2) استفاده می کند. این بدافزار را قادر می سازد تا عملیات مخرب خود را آغاز کند.

پس از دریافت پیام درخواست اکو ICMP، سرور C2 با یک فرمان رمزگذاری شده پاسخ می دهد، که سپس رمزگشایی شده و بر روی میزبان در معرض خطر اجرا می شود. برای استخراج نتایج دستورالعمل اجرا شده، از یک پیام پینگ ICMP مشابه استفاده می شود.

قابل ذکر است که اجرای فرمان PowerShell از طریق استفاده از سرویس Windows Management Instrumentation (WMI) تسهیل می شود. این انتخاب نشان‌دهنده استفاده عمدی دشمن از تاکتیک‌های زندگی خارج از زمین، با هدف فرار از شناسایی با استفاده از فرآیندهای سیستم قانونی است.

اگرچه ساختار اصلی این تهدید ممکن است ذاتاً دارای طراحی پیچیده ای نباشد، توانایی آن برای پنهان کردن فعالیت های مشکوک و فرار از شناسایی توسط دفاع های امنیتی نقطه پایانی، نشان دهنده دخالت بازیگران تهدید پیچیده تر است.

عوامل تهدید از روش‌های متعددی برای نقض شبکه‌های فردی و شرکتی استفاده می‌کنند

عوامل تهدید از روش‌ها و تکنیک‌های مختلفی برای نفوذ به سیستم‌های شرکتی استفاده می‌کنند و از آسیب‌پذیری‌ها و ضعف‌ها در زیرساخت‌های امنیتی سازمان استفاده می‌کنند. این تکنیک‌های نفوذ می‌توانند متنوع و پیچیده باشند، با هدف دور زدن دفاع‌ها و دسترسی غیرمجاز به اطلاعات حساس. برخی از روش های رایج عبارتند از:

  • فیشینگ و مهندسی اجتماعی: عوامل تهدید ممکن است از تاکتیک‌های فریبنده مانند ایمیل‌های فیشینگ یا تماس‌های تلفنی برای فریب کارمندان برای افشای اطلاعات حساس مانند اعتبارنامه ورود یا اطلاعات شخصی استفاده کنند. تکنیک های مهندسی اجتماعی افراد را برای دسترسی غیرمجاز به سیستم های شرکت دستکاری می کند.

  • بدافزارها و سوء استفاده‌ها: مهاجمان می‌توانند بدافزار مرحله اول را از طریق ابزارهای مختلف، از جمله پیوست‌های ایمیل مخرب، وب‌سایت‌های آلوده یا نرم‌افزارهای آسیب‌دیده وارد سیستم‌های شرکتی کنند. با بهره‌برداری از آسیب‌پذیری‌ها در نرم‌افزار یا سیستم‌ها، عوامل تهدید می‌توانند دسترسی و کنترل غیرمجاز بر زیرساخت‌های حیاتی را به دست آورند.

  • حملات زنجیره تامین: عوامل تهدید می توانند فروشندگان یا تامین کنندگان شخص ثالث را با اقدامات امنیتی ضعیف تر مورد هدف قرار دهند و از آسیب پذیری های موجود در سیستم های خود برای دسترسی به شبکه شرکتی سوء استفاده کنند. هنگامی که داخل می شوند، می توانند به صورت جانبی حرکت کنند و امتیازات خود را افزایش دهند.

  • حملات Brute-Force: مهاجمان ممکن است تلاش کنند تا با آزمایش سیستماتیک ترکیب های متعددی از نام های کاربری و رمز عبور تا زمانی که اعتبار صحیح را پیدا کنند، به سیستم های شرکتی دسترسی پیدا کنند.

  • حملات پروتکل دسکتاپ از راه دور (RDP): عوامل تهدید، پورت های RDP در معرض دید را هدف قرار می دهند تا دسترسی غیرمجاز به سیستم های شرکتی داشته باشند. آنها ممکن است از رمزهای عبور ضعیف یا آسیب پذیری های نرم افزار RDP برای به خطر انداختن شبکه سوء استفاده کنند.

  • Zero-Day Exploits: آسیب‌پذیری‌های Zero-day به آسیب‌پذیری‌های نرم‌افزاری ناشناخته‌ای اطلاق می‌شوند که عوامل تهدید قبل از اینکه توسعه‌دهندگان بتوانند آن‌ها را اصلاح کنند، کشف می‌کنند. مهاجمان می توانند از این آسیب پذیری ها برای دسترسی غیرمجاز به سیستم های شرکتی سوء استفاده کنند.

عوامل تهدید به طور مداوم تکنیک های خود را تکامل می دهند و روش های جدیدی را برای نفوذ در سیستم های شرکتی اتخاذ می کنند. در نتیجه، سازمان‌ها باید اقدامات امنیتی جامعی از جمله به‌روزرسانی‌های نرم‌افزاری منظم، آموزش کارکنان، تقسیم‌بندی شبکه، سیستم‌های تشخیص نفوذ و کنترل‌های دسترسی قوی را برای محافظت در برابر این تلاش‌های نفوذ اجرا کنند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...