Malware PowerDrop

L'industria aerospaziale statunitense è diventata l'obiettivo di un attore malvagio non identificato che utilizza un malware basato su PowerShell scoperto di recente noto come PowerDrop. Un rapporto dei ricercatori sulla sicurezza informatica rivela che PowerDrop utilizza metodi sofisticati per evitare il rilevamento, inclusi l'inganno, la codifica e la crittografia. Nel maggio 2023, il malware è stato scoperto impiantato all'interno dei sistemi di un appaltatore della difesa aerospaziale statunitense non dichiarato.

Le funzioni minacciose di PowerDrop vanno oltre l'accesso iniziale e consentono alla minaccia di fungere da strumento post-sfruttamento. Ciò significa che una volta che l'attaccante ottiene l'accesso alla rete di una vittima attraverso metodi alternativi, PowerDrop viene distribuito per raccogliere informazioni preziose dai sistemi compromessi. Il suo obiettivo principale è estrarre dati sensibili e condurre la sorveglianza all'interno della rete della vittima. I dettagli sulla minaccia sono stati rilasciati dagli esperti di infosec di Adlumin.

Il malware PowerDrop sfrutta processi e sistemi legittimi

Il malware utilizza i messaggi di richiesta echo ICMP (Internet Control Message Protocol) come mezzo per stabilire la comunicazione con un server Command-and-Control (C2). Ciò consente al malware di avviare le sue operazioni dannose.

Dopo aver ricevuto il messaggio di richiesta echo ICMP, il server C2 risponde con un comando crittografato, che viene quindi decodificato ed eseguito sull'host compromesso. Per esfiltrare i risultati dell'istruzione eseguita, viene utilizzato un messaggio ping ICMP simile.

In particolare, l'esecuzione del comando PowerShell è facilitata dall'utilizzo del servizio Strumentazione gestione Windows (WMI). Questa scelta indica l'uso deliberato da parte dell'avversario di tattiche di sopravvivenza, con l'obiettivo di eludere il rilevamento sfruttando processi di sistema legittimi.

Sebbene la struttura centrale di questa minaccia possa non possedere un design intrinsecamente complesso, la sua capacità di oscurare attività sospette ed eludere il rilevamento da parte delle difese di sicurezza degli endpoint suggerisce il coinvolgimento di attori delle minacce più sofisticati.

Gli attori delle minacce utilizzano più metodi per violare le reti individuali e aziendali

Gli attori delle minacce impiegano vari metodi e tecniche per infiltrarsi nei sistemi aziendali, sfruttando le vulnerabilità e le debolezze all'interno dell'infrastruttura di sicurezza dell'organizzazione. Queste tecniche di infiltrazione possono essere diverse e sofisticate, con l'obiettivo di aggirare le difese e ottenere l'accesso non autorizzato a informazioni sensibili. Alcuni metodi comuni includono:

• Phishing e ingegneria sociale: gli attori delle minacce possono utilizzare tattiche ingannevoli, come e-mail di phishing o telefonate, per indurre i dipendenti a divulgare informazioni sensibili, come credenziali di accesso o dettagli personali. Le tecniche di ingegneria sociale manipolano le persone per ottenere l'accesso non autorizzato ai sistemi aziendali.
• Malware ed exploit: gli aggressori possono introdurre malware di prima fase nei sistemi aziendali attraverso vari mezzi, inclusi allegati e-mail dannosi, siti Web infetti o software compromesso. Sfruttando le vulnerabilità nel software o nei sistemi, gli attori delle minacce possono ottenere l'accesso non autorizzato e il controllo sulle infrastrutture critiche.
• Attacchi alla catena di approvvigionamento: gli attori delle minacce possono prendere di mira venditori o fornitori di terze parti con misure di sicurezza più deboli, sfruttando le vulnerabilità nei loro sistemi per ottenere l'accesso alla rete aziendale. Una volta dentro, possono spostarsi lateralmente e aumentare i loro privilegi.
• Attacchi di forza bruta: gli aggressori possono tentare di ottenere l'accesso ai sistemi aziendali provando sistematicamente numerose combinazioni di nomi utente e password finché non scoprono le credenziali corrette.
• Attacchi RDP (Remote Desktop Protocol): gli attori delle minacce prendono di mira le porte RDP esposte per ottenere l'accesso non autorizzato ai sistemi aziendali. Possono sfruttare password deboli o vulnerabilità nel software RDP per compromettere la rete.
• Exploit zero-day: le vulnerabilità zero-day si riferiscono a vulnerabilità software sconosciute che gli attori delle minacce scoprono prima che gli sviluppatori possano correggerle. Gli aggressori possono sfruttare queste vulnerabilità per ottenere l'accesso non autorizzato ai sistemi aziendali.

Gli attori delle minacce evolvono continuamente le loro tecniche e adottano nuovi metodi per infiltrarsi nei sistemi aziendali. Di conseguenza, le organizzazioni devono implementare misure di sicurezza complete, inclusi aggiornamenti regolari del software, formazione dei dipendenti, segmentazione della rete, sistemi di rilevamento delle intrusioni e robusti controlli degli accessi, per proteggersi da questi tentativi di infiltrazione.