पॉवरड्रॉप मैलवेयर
अमेरिकी एयरोस्पेस उद्योग एक नए खोजे गए PowerShell-आधारित मैलवेयर का उपयोग करके एक अज्ञात दुष्ट-दिमाग वाले अभिनेता का लक्ष्य बन गया है, जिसे PowerDrop के रूप में जाना जाता है। साइबर सुरक्षा शोधकर्ताओं की एक रिपोर्ट से पता चलता है कि पावरड्रॉप धोखे, एन्कोडिंग और एन्क्रिप्शन सहित पहचान से बचने के लिए परिष्कृत तरीकों का उपयोग करता है। मई 2023 में, एक अज्ञात अमेरिकी एयरोस्पेस रक्षा ठेकेदार के सिस्टम के भीतर मैलवेयर की खोज की गई थी।
पॉवरड्रॉप के खतरनाक कार्य प्रारंभिक पहुंच से परे जाते हैं और खतरे को शोषण के बाद के उपकरण के रूप में काम करने की अनुमति देते हैं। इसका मतलब यह है कि एक बार जब हमलावर वैकल्पिक तरीकों से पीड़ित के नेटवर्क में प्रवेश कर लेता है, तो समझौता किए गए सिस्टम से मूल्यवान जानकारी इकट्ठा करने के लिए पावरड्रॉप को तैनात किया जाता है। इसका प्राथमिक उद्देश्य संवेदनशील डेटा निकालना और पीड़ित के नेटवर्क के भीतर निगरानी करना है। खतरे के बारे में विवरण Adlumin पर infosec विशेषज्ञों द्वारा जारी किया गया।
पॉवरड्रॉप मालवेयर वैध प्रक्रियाओं और प्रणालियों का लाभ उठाता है
मैलवेयर कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार स्थापित करने के साधन के रूप में इंटरनेट कंट्रोल मैसेज प्रोटोकॉल (ICMP) इको अनुरोध संदेशों का उपयोग करता है। यह मैलवेयर को अपने दुर्भावनापूर्ण संचालन आरंभ करने में सक्षम बनाता है।
ICMP इको रिक्वेस्ट मैसेज प्राप्त करने पर, C2 सर्वर एक एन्क्रिप्टेड कमांड के साथ प्रतिक्रिया करता है, जिसे तब डिकोड किया जाता है और समझौता किए गए होस्ट पर निष्पादित किया जाता है। निष्पादित निर्देश के परिणामों को एक्सफ़िलिएट करने के लिए, एक समान ICMP पिंग संदेश कार्यरत है।
विशेष रूप से, PowerShell कमांड के निष्पादन को Windows Management Instrumentation (WMI) सेवा के उपयोग के माध्यम से सुगम बनाया गया है। यह विकल्प वैध प्रणाली प्रक्रियाओं का लाभ उठाकर पता लगाने से बचने के लक्ष्य के साथ-साथ रहने की रणनीति के प्रतिद्वंदी के जानबूझकर उपयोग को इंगित करता है।
हालांकि इस खतरे की मूल संरचना में एक अंतर्निहित जटिल डिजाइन नहीं हो सकता है, संदिग्ध गतिविधियों को अस्पष्ट करने और समापन बिंदु सुरक्षा सुरक्षा द्वारा पता लगाने से बचने की इसकी क्षमता अधिक परिष्कृत खतरे वाले अभिनेताओं की भागीदारी का सुझाव देती है।
थ्रैट एक्टर्स व्यक्तिगत और कॉर्पोरेट नेटवर्क का उल्लंघन करने के लिए कई तरीकों का उपयोग करते हैं
संगठन के सुरक्षा बुनियादी ढांचे के भीतर कमजोरियों और कमजोरियों का फायदा उठाते हुए, धमकी देने वाले कॉर्पोरेट सिस्टम में घुसपैठ करने के लिए विभिन्न तरीकों और तकनीकों का इस्तेमाल करते हैं। घुसपैठ की ये तकनीकें विविधतापूर्ण और परिष्कृत हो सकती हैं, जिनका उद्देश्य बचाव को बायपास करना और संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करना है। कुछ सामान्य तरीकों में शामिल हैं:
- फ़िशिंग और सोशल इंजीनियरिंग: कर्मचारियों को संवेदनशील जानकारी, जैसे लॉगिन क्रेडेंशियल या व्यक्तिगत विवरण प्रकट करने के लिए फ़िशिंग ईमेल या फ़ोन कॉल जैसी भ्रामक रणनीति का उपयोग कर सकते हैं। सोशल इंजीनियरिंग तकनीक कॉर्पोरेट सिस्टम में अनधिकृत पहुंच प्राप्त करने के लिए व्यक्तियों को हेरफेर करती है।
- मैलवेयर और एक्सप्लॉइट्स: हमलावर दुर्भावनापूर्ण ईमेल अटैचमेंट, संक्रमित वेबसाइटों या समझौता किए गए सॉफ़्टवेयर सहित विभिन्न माध्यमों से कॉर्पोरेट सिस्टम में प्रथम-चरण मैलवेयर पेश कर सकते हैं। सॉफ्टवेयर या सिस्टम में कमजोरियों का फायदा उठाकर, खतरे के कारक महत्वपूर्ण बुनियादी ढांचे पर अनधिकृत पहुंच और नियंत्रण हासिल कर सकते हैं।
- आपूर्ति श्रृंखला हमले: खतरे के कर्ता कमजोर सुरक्षा उपायों के साथ तीसरे पक्ष के विक्रेताओं या आपूर्तिकर्ताओं को लक्षित कर सकते हैं, कॉर्पोरेट नेटवर्क तक पहुंच प्राप्त करने के लिए अपने सिस्टम में कमजोरियों का फायदा उठा सकते हैं। एक बार अंदर जाने के बाद, वे बाद में आगे बढ़ सकते हैं और अपने विशेषाधिकार बढ़ा सकते हैं।
- ब्रूट-फोर्स अटैक: हमलावर कॉर्पोरेट सिस्टम तक पहुंच प्राप्त करने का प्रयास कर सकते हैं, जब तक कि वे सही क्रेडेंशियल्स का पता नहीं लगा लेते हैं, तब तक उपयोगकर्ता नाम और पासवर्ड के कई संयोजनों का व्यवस्थित रूप से प्रयास करते हैं।
- रिमोट डेस्कटॉप प्रोटोकॉल (RDP) हमले: कॉर्पोरेट सिस्टम में अनधिकृत पहुंच प्राप्त करने के लिए जोखिम वाले अभिनेताओं ने उजागर RDP पोर्ट को लक्षित किया। वे नेटवर्क से समझौता करने के लिए कमजोर पासवर्ड या आरडीपी सॉफ्टवेयर में कमजोरियों का फायदा उठा सकते हैं।
- ज़ीरो-डे एक्सप्लॉइट्स: ज़ीरो-डे भेद्यताएँ अज्ञात सॉफ़्टवेयर भेद्यताओं को संदर्भित करती हैं जो डेवलपर्स को पैच करने से पहले जोखिम वाले अभिनेताओं की खोज करती हैं। कॉरपोरेट सिस्टम में अनधिकृत पहुंच प्राप्त करने के लिए हमलावर इन कमजोरियों का फायदा उठा सकते हैं।
धमकी देने वाले लगातार अपनी तकनीकों को विकसित करते हैं और कॉर्पोरेट सिस्टम में घुसपैठ करने के लिए नए तरीके अपनाते हैं। नतीजतन, संगठनों को इन घुसपैठ के प्रयासों से बचाने के लिए नियमित सॉफ्टवेयर अपडेट, कर्मचारी प्रशिक्षण, नेटवर्क विभाजन, घुसपैठ का पता लगाने वाली प्रणाली और मजबूत पहुंच नियंत्रण सहित व्यापक सुरक्षा उपायों को लागू करना चाहिए।
