PowerDrop Malware

Američka zrakoplovna industrija postala je meta neidentificiranog zlonamjernog aktera koji koristi novootkriveni malware temeljen na PowerShell-u poznat kao PowerDrop. Izvješće istraživača kibernetičke sigurnosti otkriva da PowerDrop koristi sofisticirane metode za izbjegavanje otkrivanja, uključujući prijevaru, kodiranje i enkripciju. U svibnju 2023. otkriveno je da je zlonamjerni softver ugrađen u sustave nepoznatog američkog izvođača radova obrambenog zrakoplovstva.

Prijeteće funkcije PowerDropa nadilaze početni pristup i dopuštaju prijetnji da posluži kao alat za naknadno iskorištavanje. To znači da nakon što napadač uđe u žrtvinu mrežu alternativnim metodama, PowerDrop se postavlja kako bi prikupio vrijedne informacije iz kompromitiranih sustava. Njegov primarni cilj je izvući osjetljive podatke i provoditi nadzor unutar mreže žrtve. Detalje o prijetnji objavili su stručnjaci za infosec u Adluminu.

Zlonamjerni softver PowerDrop iskorištava prednosti legitimnih procesa i sustava

Zlonamjerni softver koristi poruke echo zahtjeva Internet Control Message Protocol (ICMP) kao sredstvo za uspostavljanje komunikacije s Command-and-Control (C2) poslužiteljem. To omogućuje zlonamjernom softveru da započne svoje zlonamjerne operacije.

Po primitku poruke ICMP echo zahtjeva, C2 poslužitelj odgovara šifriranom naredbom, koja se zatim dekodira i izvršava na kompromitiranom hostu. Za eksfiltraciju rezultata izvršene instrukcije koristi se slična ICMP ping poruka.

Značajno, izvršenje naredbe PowerShell olakšano je upotrebom usluge Windows Management Instrumentation (WMI). Ovaj izbor ukazuje na protivnikovu namjernu upotrebu taktike življenja izvan zemlje, s ciljem izbjegavanja otkrivanja korištenjem legitimnih procesa sustava.

Iako temeljna struktura ove prijetnje možda nema inherentno složen dizajn, njezina sposobnost da prikrije sumnjive aktivnosti i izbjegne otkrivanje od strane sigurnosnih obrana krajnjih točaka sugerira uključenost sofisticiranijih aktera prijetnji.

Akteri prijetnji koriste više metoda za probijanje pojedinačnih i korporativnih mreža

Akteri prijetnji koriste različite metode i tehnike za infiltraciju u korporativne sustave, iskorištavajući ranjivosti i slabosti unutar sigurnosne infrastrukture organizacije. Te tehnike infiltracije mogu biti raznolike i sofisticirane, s ciljem zaobilaženja obrane i dobivanja neovlaštenog pristupa osjetljivim informacijama. Neke uobičajene metode uključuju:

• Phishing i društveni inženjering: akteri prijetnje mogu koristiti prijevarne taktike, kao što su phishing e-poruke ili telefonski pozivi, kako bi prevarili zaposlenike da otkriju osjetljive informacije, kao što su vjerodajnice za prijavu ili osobni podaci. Tehnike društvenog inženjeringa manipuliraju pojedincima kako bi dobili neovlašteni pristup korporativnim sustavima.
• Zlonamjerni softver i eksploatacije: Napadači mogu uvesti prvi stupanj zlonamjernog softvera u korporativne sustave na različite načine, uključujući zlonamjerne privitke e-pošte, zaražene web stranice ili kompromitirani softver. Iskorištavanjem ranjivosti u softveru ili sustavima, akteri prijetnji mogu dobiti neovlašteni pristup i kontrolu nad kritičnom infrastrukturom.
• Napadi na lanac opskrbe: akteri prijetnji mogu ciljati dobavljače trećih strana ili dobavljače sa slabijim sigurnosnim mjerama, iskorištavajući ranjivosti u svojim sustavima kako bi dobili pristup korporativnoj mreži. Kad uđu unutra, mogu se kretati bočno i povećati svoje privilegije.
• Napadi brutalnom silom: Napadači mogu pokušati dobiti pristup korporativnim sustavima sustavnim isprobavanjem brojnih kombinacija korisničkih imena i lozinki dok ne otkriju točne vjerodajnice.
• Napadi protokola udaljene radne površine (RDP): Akteri prijetnji ciljaju na izložene RDP priključke kako bi dobili neovlašteni pristup korporativnim sustavima. Oni mogu iskoristiti slabe lozinke ili ranjivosti u RDP softveru kako bi ugrozili mrežu.
• Eksploatacije nultog dana: Ranjivosti nultog dana odnose se na nepoznate ranjivosti softvera koje akteri prijetnji otkriju prije nego što ih programeri mogu zakrpati. Napadači mogu iskoristiti ove ranjivosti za dobivanje neovlaštenog pristupa korporativnim sustavima.

Akteri prijetnji neprestano razvijaju svoje tehnike i usvajaju nove metode za infiltraciju u korporativne sustave. Kao rezultat toga, organizacije moraju implementirati opsežne sigurnosne mjere, uključujući redovita ažuriranja softvera, obuku zaposlenika, segmentaciju mreže, sustave za otkrivanje upada i robusne kontrole pristupa, kako bi se zaštitile od ovih pokušaja infiltracije.