بدافزار PowerDrop
صنعت هوافضای ایالات متحده با استفاده از بدافزار تازه کشف شده مبتنی بر PowerShell که به نام PowerDrop شناخته می شود، هدف یک بازیگر شیطان صفت ناشناس قرار گرفته است. گزارشی توسط محققان امنیت سایبری نشان میدهد که PowerDrop از روشهای پیچیدهای برای جلوگیری از شناسایی، از جمله فریب، رمزگذاری و رمزگذاری استفاده میکند. در ماه مه 2023، این بدافزار کاشته شده در سیستم های یک پیمانکار ناشناس دفاع هوافضای ایالات متحده کشف شد.
عملکردهای تهدیدآمیز PowerDrop فراتر از دسترسی اولیه است و به تهدید اجازه می دهد تا به عنوان یک ابزار پس از بهره برداری عمل کند. این بدان معناست که هنگامی که مهاجم از طریق روش های جایگزین وارد شبکه قربانی می شود، PowerDrop برای جمع آوری اطلاعات ارزشمند از سیستم های در معرض خطر مستقر می شود. هدف اصلی آن استخراج داده های حساس و انجام نظارت در شبکه قربانی است. جزئیات این تهدید توسط کارشناسان infosec در Adlumin منتشر شد.
بدافزار PowerDrop از فرآیندها و سیستم های قانونی استفاده می کند
این بدافزار از پیام های درخواست پژواک پروتکل پیام کنترل اینترنت (ICMP) به عنوان وسیله ای برای برقراری ارتباط با یک سرور Command-and-Control (C2) استفاده می کند. این بدافزار را قادر می سازد تا عملیات مخرب خود را آغاز کند.
پس از دریافت پیام درخواست اکو ICMP، سرور C2 با یک فرمان رمزگذاری شده پاسخ می دهد، که سپس رمزگشایی شده و بر روی میزبان در معرض خطر اجرا می شود. برای استخراج نتایج دستورالعمل اجرا شده، از یک پیام پینگ ICMP مشابه استفاده می شود.
قابل ذکر است که اجرای فرمان PowerShell از طریق استفاده از سرویس Windows Management Instrumentation (WMI) تسهیل می شود. این انتخاب نشاندهنده استفاده عمدی دشمن از تاکتیکهای زندگی خارج از زمین، با هدف فرار از شناسایی با استفاده از فرآیندهای سیستم قانونی است.
اگرچه ساختار اصلی این تهدید ممکن است ذاتاً دارای طراحی پیچیده ای نباشد، توانایی آن برای پنهان کردن فعالیت های مشکوک و فرار از شناسایی توسط دفاع های امنیتی نقطه پایانی، نشان دهنده دخالت بازیگران تهدید پیچیده تر است.
عوامل تهدید از روشهای متعددی برای نقض شبکههای فردی و شرکتی استفاده میکنند
عوامل تهدید از روشها و تکنیکهای مختلفی برای نفوذ به سیستمهای شرکتی استفاده میکنند و از آسیبپذیریها و ضعفها در زیرساختهای امنیتی سازمان استفاده میکنند. این تکنیکهای نفوذ میتوانند متنوع و پیچیده باشند، با هدف دور زدن دفاعها و دسترسی غیرمجاز به اطلاعات حساس. برخی از روش های رایج عبارتند از:
- فیشینگ و مهندسی اجتماعی: عوامل تهدید ممکن است از تاکتیکهای فریبنده مانند ایمیلهای فیشینگ یا تماسهای تلفنی برای فریب کارمندان برای افشای اطلاعات حساس مانند اعتبارنامه ورود یا اطلاعات شخصی استفاده کنند. تکنیک های مهندسی اجتماعی افراد را برای دسترسی غیرمجاز به سیستم های شرکت دستکاری می کند.
- بدافزارها و سوء استفادهها: مهاجمان میتوانند بدافزار مرحله اول را از طریق ابزارهای مختلف، از جمله پیوستهای ایمیل مخرب، وبسایتهای آلوده یا نرمافزارهای آسیبدیده وارد سیستمهای شرکتی کنند. با بهرهبرداری از آسیبپذیریها در نرمافزار یا سیستمها، عوامل تهدید میتوانند دسترسی و کنترل غیرمجاز بر زیرساختهای حیاتی را به دست آورند.
- حملات زنجیره تامین: عوامل تهدید می توانند فروشندگان یا تامین کنندگان شخص ثالث را با اقدامات امنیتی ضعیف تر مورد هدف قرار دهند و از آسیب پذیری های موجود در سیستم های خود برای دسترسی به شبکه شرکتی سوء استفاده کنند. هنگامی که داخل می شوند، می توانند به صورت جانبی حرکت کنند و امتیازات خود را افزایش دهند.
- حملات Brute-Force: مهاجمان ممکن است تلاش کنند تا با آزمایش سیستماتیک ترکیب های متعددی از نام های کاربری و رمز عبور تا زمانی که اعتبار صحیح را پیدا کنند، به سیستم های شرکتی دسترسی پیدا کنند.
- حملات پروتکل دسکتاپ از راه دور (RDP): عوامل تهدید، پورت های RDP در معرض دید را هدف قرار می دهند تا دسترسی غیرمجاز به سیستم های شرکتی داشته باشند. آنها ممکن است از رمزهای عبور ضعیف یا آسیب پذیری های نرم افزار RDP برای به خطر انداختن شبکه سوء استفاده کنند.
- Zero-Day Exploits: آسیبپذیریهای Zero-day به آسیبپذیریهای نرمافزاری ناشناختهای اطلاق میشوند که عوامل تهدید قبل از اینکه توسعهدهندگان بتوانند آنها را اصلاح کنند، کشف میکنند. مهاجمان می توانند از این آسیب پذیری ها برای دسترسی غیرمجاز به سیستم های شرکتی سوء استفاده کنند.
عوامل تهدید به طور مداوم تکنیک های خود را تکامل می دهند و روش های جدیدی را برای نفوذ در سیستم های شرکتی اتخاذ می کنند. در نتیجه، سازمانها باید اقدامات امنیتی جامعی از جمله بهروزرسانیهای نرمافزاری منظم، آموزش کارکنان، تقسیمبندی شبکه، سیستمهای تشخیص نفوذ و کنترلهای دسترسی قوی را برای محافظت در برابر این تلاشهای نفوذ اجرا کنند.