הנחות רישוי רב
Threat Database Malware תוכנת זדונית PowerDrop

תוכנת זדונית PowerDrop

עד Mezo ב-Malware
לתרגם ל:
עברית

תעשיית התעופה והחלל של ארה"ב הפכה למטרה של שחקן לא מזוהה בעל נפש רעה המשתמש בתוכנה זדונית חדשה שהתגלתה מבוססת PowerShell הידועה בשם PowerDrop. דוח של חוקרי אבטחת סייבר חושף ש-PowerDrop משתמש בשיטות מתוחכמות כדי להימנע מגילוי, כולל הונאה, קידוד והצפנה. במאי 2023, התגלתה התוכנה הזדונית כשהיא מושתלת במערכות של קבלן הגנה אמריקאי לא ידוע.

הפונקציות המאיימות של PowerDrop חורגות מעבר לגישה הראשונית ומאפשרות לאיום לשמש ככלי לאחר ניצול. משמעות הדבר היא שברגע שהתוקף מקבל כניסה לרשת של הקורבן באמצעות שיטות חלופיות, PowerDrop נפרס כדי לאסוף מידע בעל ערך מהמערכות שנפרצו. מטרתו העיקרית היא לחלץ נתונים רגישים ולערוך מעקבים בתוך הרשת של הקורבן. פרטים על האיום פורסמו על ידי מומחי infosec ב-Adlumin.

תוכנת זדונית PowerDrop מנצלת תהליכים ומערכות לגיטימיות

התוכנה הזדונית משתמשת בהודעות בקשת הד של Internet Control Message Protocol (ICMP) כאמצעי ליצירת תקשורת עם שרת Command-and-Control (C2). זה מאפשר לתוכנה הזדונית ליזום את הפעולות הזדוניות שלה.

עם קבלת הודעת ICMP echo request, שרת C2 מגיב בפקודה מוצפנת, אשר מפוענחת ומבוצעת על המארח שנפרץ. כדי לסנן את תוצאות ההוראה המבוצעת, הודעת פינג דומה של ICMP מופעלת.

יש לציין כי ביצוע פקודת PowerShell מקל על ידי שימוש בשירות Windows Management Instrumentation (WMI). בחירה זו מצביעה על שימוש מכוון של היריב בטקטיקות חיים מחוץ לאדמה, במטרה להתחמק מגילוי על ידי מינוף תהליכי מערכת לגיטימיים.

למרות שמבנה הליבה של האיום הזה עשוי שלא להיות בעל עיצוב מורכב מטבעו, היכולת שלו לטשטש פעילויות חשודות ולהתחמק מזיהוי על ידי הגנות אבטחה של נקודות קצה מעידה על מעורבות של גורמי איום מתוחכמים יותר.

שחקני איומים משתמשים במספר שיטות כדי לפרוץ רשתות אישיות וארגוניות

גורמי איומים מפעילים שיטות וטכניקות שונות כדי לחדור למערכות ארגוניות, תוך ניצול נקודות תורפה וחולשות בתשתית האבטחה של הארגון. טכניקות החדירה הללו יכולות להיות מגוונות ומתוחכמות, במטרה לעקוף הגנות ולקבל גישה לא מורשית למידע רגיש. כמה שיטות נפוצות כוללות:

  • פישינג והנדסה חברתית: שחקני איום עשויים להשתמש בטקטיקות מטעות, כגון הודעות דיוג בדוא"ל או שיחות טלפון, כדי להערים על עובדים לחשוף מידע רגיש, כגון אישורי התחברות או פרטים אישיים. טכניקות של הנדסה חברתית מתמרנות אנשים כדי לקבל גישה לא מורשית למערכות ארגוניות.

  • תוכנות זדוניות וניצול: תוקפים יכולים להכניס תוכנות זדוניות בשלב ראשון למערכות ארגוניות באמצעים שונים, כולל קבצים מצורפים לדואר אלקטרוני זדוני, אתרים נגועים או תוכנות שנפגעו. על ידי ניצול פגיעויות בתוכנה או במערכות, גורמי איומים יכולים לקבל גישה ושליטה בלתי מורשית על תשתית קריטית.

  • התקפות שרשרת אספקה: שחקני איום יכולים לכוון לספקים או ספקים של צד שלישי עם אמצעי אבטחה חלשים יותר, תוך ניצול נקודות תורפה במערכות שלהם כדי לקבל גישה לרשת הארגונית. כשהם נכנסים, הם יכולים לנוע לרוחב ולהסלים את הרשאותיהם.

  • התקפות כוח גסות: תוקפים עשויים לנסות לקבל גישה למערכות ארגוניות על ידי ניסיון שיטתי של שילובים רבים של שמות משתמש וסיסמאות עד שהם יגלו את האישורים הנכונים.

  • התקפות פרוטוקול שולחן עבודה מרוחק (RDP): גורמי איום מכוונים ליציאות RDP חשופות כדי לקבל גישה לא מורשית למערכות ארגוניות. הם עלולים לנצל סיסמאות חלשות או נקודות תורפה בתוכנת RDP כדי לסכן את הרשת.

  • ניצול יום אפס: פגיעויות של יום אפס מתייחסות לפרצות תוכנה לא ידועות ששחקני איומים מגלים לפני שמפתחים יכולים לתקן אותן. תוקפים יכולים לנצל את הפגיעויות הללו כדי לקבל גישה לא מורשית למערכות ארגוניות.

שחקני איומים מתפתחים ללא הרף את הטכניקות שלהם ומאמצים שיטות חדשות לחדור למערכות ארגוניות. כתוצאה מכך, ארגונים חייבים ליישם אמצעי אבטחה מקיפים, לרבות עדכוני תוכנה שוטפים, הדרכת עובדים, פילוח רשת, מערכות זיהוי פריצות ובקרות גישה חזקות, כדי להגן מפני ניסיונות חדירה אלו.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...