PowerDrop Malware

Az amerikai repülőgépipar egy ismeretlen, gonosz lelkű szereplő célpontja lett, aki egy újonnan felfedezett, PowerShell-alapú rosszindulatú programot, PowerDrop néven használ. A kiberbiztonsági kutatók jelentése szerint a PowerDrop kifinomult módszereket alkalmaz az észlelés elkerülésére, beleértve a megtévesztést, a kódolást és a titkosítást. 2023 májusában fedezték fel a rosszindulatú programot, amelyet egy nem titkolt amerikai repülőgép-védelmi vállalkozó rendszerébe ültettek be.

A PowerDrop fenyegető funkciói túlmutatnak a kezdeti hozzáférésen, és lehetővé teszik, hogy a fenyegetés a kizsákmányolás utáni eszközként szolgáljon. Ez azt jelenti, hogy amint a támadó alternatív módszerekkel bejut az áldozat hálózatába, a PowerDrop rendszerbe kerül, hogy értékes információkat gyűjtsön a feltört rendszerekről. Elsődleges célja érzékeny adatok kinyerése és megfigyelés az áldozat hálózatán belül. A fenyegetés részleteit az Adlumin infosec szakértői közölték.

A PowerDrop kártevő kihasználja a legitim folyamatok és rendszerek előnyeit

A rosszindulatú program az Internet Control Message Protocol (ICMP) visszhangkérési üzeneteit használja fel kommunikációs eszközként a Command-and-Control (C2) szerverrel. Ez lehetővé teszi a rosszindulatú program számára, hogy rosszindulatú műveleteket kezdeményezzen.

Az ICMP visszhang kérés üzenetének fogadásakor a C2 szerver egy titkosított paranccsal válaszol, amelyet a rendszer dekódol és végrehajt a feltört gazdagépen. A végrehajtott utasítás eredményeinek kiszűrésére egy hasonló ICMP ping üzenetet használnak.

Nevezetesen, a PowerShell parancs végrehajtását megkönnyíti a Windows Management Instrumentation (WMI) szolgáltatás használata. Ez a választás azt jelzi, hogy az ellenfél szándékosan a földön kívüli élet taktikáját alkalmazza, és célja, hogy a legitim rendszerfolyamatok kihasználásával elkerülje az észlelést.

Noha ennek a fenyegetésnek az alapvető szerkezete nem feltétlenül összetett felépítésű, a gyanús tevékenységek elfedésére és a végponti biztonsági védelem általi észlelés elkerülésére való képessége kifinomultabb fenyegetési szereplők bevonására utal.

A fenyegető szereplők többféle módszert alkalmaznak az egyéni és vállalati hálózatok megsértésére

A fenyegetés szereplői különféle módszereket és technikákat alkalmaznak a vállalati rendszerekbe való behatolásra, kihasználva a szervezet biztonsági infrastruktúrájának sebezhetőségeit és gyengeségeit. Ezek a behatolási technikák sokfélék és kifinomultak lehetnek, és célja a védekezés megkerülése és az érzékeny információkhoz való jogosulatlan hozzáférés. Néhány gyakori módszer:

• Adathalászat és társadalmi tervezés: A fenyegetés szereplői megtévesztő taktikákat alkalmazhatnak, például adathalász e-maileket vagy telefonhívásokat, hogy rávegyék az alkalmazottakat érzékeny adatok, például bejelentkezési adatok vagy személyes adatok felfedésére. A social engineering technikák manipulálják az egyéneket, hogy illetéktelenül hozzáférjenek a vállalati rendszerekhez.
• Rosszindulatú programok és kizsákmányolások: A támadók különféle módokon, például rosszindulatú e-mail-mellékletekkel, fertőzött webhelyekkel vagy feltört szoftverekkel juttathatnak be első szintű rosszindulatú programokat a vállalati rendszerekbe. A szoftverek vagy rendszerek sebezhetőségeinek kihasználásával a fenyegetés szereplői jogosulatlan hozzáférést kaphatnak a kritikus infrastruktúrák felett, és felügyeletet tehetnek felettük.
• Supply Chain Attacks: A fenyegető szereplők külső gyártókat vagy beszállítókat célozhatnak meg gyengébb biztonsági intézkedésekkel, kihasználva rendszereik sebezhetőségeit, hogy hozzáférjenek a vállalati hálózathoz. Ha bejutottak, oldalirányban mozoghatnak, és kiterjeszthetik jogosultságaikat.
• Brute-Force támadások: A támadók megpróbálhatnak hozzáférni a vállalati rendszerekhez úgy, hogy szisztematikusan kipróbálják a felhasználónevek és jelszavak számos kombinációját, amíg meg nem találják a megfelelő hitelesítő adatokat.
• Remote Desktop Protocol (RDP) támadások: A fenyegetés szereplői a kitett RDP-portokat célozzák meg, hogy jogosulatlan hozzáférést kapjanak a vállalati rendszerekhez. Kihasználhatják az RDP-szoftver gyenge jelszavait vagy sebezhetőségeit a hálózat veszélyeztetésére.
• Zero-Day Exploits: A nulladik napi sebezhetőségek olyan ismeretlen szoftveres sebezhetőségekre utalnak, amelyeket a fenyegetés szereplői fedeznek fel, mielőtt a fejlesztők befoltozhatnák őket. A támadók ezeket a biztonsági réseket kihasználva jogosulatlan hozzáférést szerezhetnek a vállalati rendszerekhez.

A fenyegetés szereplői folyamatosan fejlesztik technikáikat, és új módszereket alkalmaznak a vállalati rendszerekbe való beszivárgás érdekében. Ennek eredményeként a szervezeteknek átfogó biztonsági intézkedéseket kell bevezetniük, beleértve a rendszeres szoftverfrissítéseket, az alkalmazottak képzését, a hálózati szegmentálást, a behatolásérzékelő rendszereket és a robusztus hozzáférés-ellenőrzéseket, hogy megvédjék ezeket a behatolási kísérleteket.