PowerDrop-haittaohjelma

Yhdysvaltain ilmailuteollisuudesta on tullut tunnistamattoman pahamielisen toimijan kohde, joka käyttää äskettäin löydettyä PowerShell-pohjaista haittaohjelmaa, joka tunnetaan nimellä PowerDrop. Kyberturvallisuustutkijoiden raportti paljastaa, että PowerDrop käyttää kehittyneitä menetelmiä havaitsemisen välttämiseksi, mukaan lukien petokset, koodaus ja salaus. Toukokuussa 2023 haittaohjelma löydettiin istutettuna julkistamattoman yhdysvaltalaisen ilmailualan puolustusurakoitsijan järjestelmiin.

PowerDropin uhkaavat toiminnot ylittävät alkuperäisen käytön ja antavat uhan toimia hyväksikäytön jälkeisenä työkaluna. Tämä tarkoittaa, että kun hyökkääjä pääsee uhrin verkkoon vaihtoehtoisilla menetelmillä, PowerDrop otetaan käyttöön keräämään arvokasta tietoa vaarantuneista järjestelmistä. Sen ensisijaisena tavoitteena on poimia arkaluonteisia tietoja ja suorittaa valvontaa uhrin verkossa. Adluminin infosec-asiantuntijat julkaisivat tiedot uhasta.

PowerDrop-haittaohjelma hyödyntää laillisia prosesseja ja järjestelmiä

Haittaohjelma käyttää Internet Control Message Protocol (ICMP) -kaikupyyntöviestejä keinona muodostaa kommunikointi Command-and-Control (C2) -palvelimen kanssa. Tämä mahdollistaa haittaohjelman käynnistävän haittaohjelmansa.

Vastaanotettuaan ICMP-kaikupyyntöviestin C2-palvelin vastaa salatulla komennolla, joka sitten puretaan ja suoritetaan vaarantuneessa isännässä. Suoritetun käskyn tulosten selvittämiseksi käytetään samanlaista ICMP-ping-sanomaa.

Erityisesti PowerShell-komennon suorittamista helpottaa Windows Management Instrumentation (WMI) -palvelun käyttö. Tämä valinta osoittaa, että vastustaja käyttää tarkoituksella "eläminen off-the-land" -taktiikoita, joilla pyritään välttämään havaitseminen hyödyntämällä laillisia järjestelmäprosesseja.

Vaikka tämän uhan ydinrakenne ei välttämättä ole luonnostaan monimutkainen, sen kyky peittää epäilyttävät toiminnot ja välttää päätepisteiden suojauskeinojen havaitseminen viittaa siihen, että mukana on kehittyneempiä uhkatoimijoita.

Uhkatoimijat käyttävät useita menetelmiä rikkoakseen yksilö- ja yritysverkostoja

Uhkatoimijat käyttävät erilaisia menetelmiä ja tekniikoita soluttautuakseen yrityksen järjestelmiin hyödyntäen organisaation tietoturvainfrastruktuurin haavoittuvuuksia ja heikkouksia. Nämä tunkeutumistekniikat voivat olla erilaisia ja kehittyneitä, ja niillä pyritään ohittamaan puolustukset ja päästämään luvatta arkaluonteisiin tietoihin. Joitakin yleisiä menetelmiä ovat:

• Tietojenkalastelu ja sosiaalinen suunnittelu: Uhkatoimijat voivat käyttää petollisia taktiikoita, kuten tietojenkalasteluviestejä tai puheluita, huijatakseen työntekijöitä paljastamaan arkaluontoisia tietoja, kuten kirjautumistietoja tai henkilökohtaisia tietoja. Sosiaalisen suunnittelun tekniikat manipuloivat ihmisiä päästäkseen luvattomasti yrityksen järjestelmiin.
• Haittaohjelmat ja hyväksikäytöt: Hyökkääjät voivat tuoda ensimmäisen vaiheen haittaohjelmia yritysten järjestelmiin eri tavoin, mukaan lukien haitalliset sähköpostiliitteet, tartunnan saaneet verkkosivustot tai vaarantuneet ohjelmistot. Hyödyntämällä ohjelmistojen tai järjestelmien haavoittuvuuksia uhkatekijät voivat saada luvattoman pääsyn kriittiseen infrastruktuuriin ja hallita sitä.
• Toimitusketjun hyökkäykset: Uhkatoimijat voivat kohdistaa kolmannen osapuolen myyjiin tai toimittajiin, joilla on heikommat suojaustoimenpiteet, hyödyntäen järjestelmiensä haavoittuvuuksia päästäkseen yrityksen verkkoon. Sisään päästyään he voivat liikkua sivusuunnassa ja laajentaa oikeuksiaan.
• Brute-Force Attacks: Hyökkääjät voivat yrittää päästä yrityksen järjestelmiin kokeilemalla järjestelmällisesti useita käyttäjätunnusten ja salasanojen yhdistelmiä, kunnes he löytävät oikeat tunnistetiedot.
• RDP (Remote Desktop Protocol) -hyökkäykset: Uhkatoimijat kohdistavat paljastuneita RDP-portteja päästäkseen luvattomasti yrityksen järjestelmiin. He voivat hyödyntää heikkoja salasanoja tai RDP-ohjelmiston haavoittuvuuksia vaarantaakseen verkon.
• Zero-Day Exploits: Nollapäivän haavoittuvuudet viittaavat tuntemattomiin ohjelmistohaavoittuvuuksiin, jotka uhkatoimijat löytävät ennen kuin kehittäjät voivat korjata ne. Hyökkääjät voivat hyödyntää näitä haavoittuvuuksia päästäkseen luvattomasti yrityksen järjestelmiin.

Uhkatoimijat kehittävät jatkuvasti tekniikoitaan ja ottavat käyttöön uusia menetelmiä soluttautuakseen yrityksen järjestelmiin. Tämän seurauksena organisaatioiden on otettava käyttöön kattavia suojaustoimenpiteitä, mukaan lukien säännölliset ohjelmistopäivitykset, työntekijöiden koulutus, verkon segmentointi, tunkeutumisen havaitsemisjärjestelmät ja tehokkaat pääsynvalvontatoimenpiteet suojautuakseen tällaisilta tunkeutumisyrityksiltä.