PowerDrop 악성코드

미국 항공우주 산업은 PowerDrop으로 알려진 새로 발견된 PowerShell 기반 맬웨어를 사용하는 미확인 악의적 행위자의 표적이 되었습니다. 사이버 보안 연구원의 보고서에 따르면 PowerDrop은 속임수, 인코딩 및 암호화를 포함하여 탐지를 피하기 위해 정교한 방법을 사용합니다. 2023년 5월, 공개되지 않은 미국 항공우주 방위 계약자의 시스템에 악성코드가 이식된 것이 발견되었습니다.

PowerDrop의 위협 기능은 초기 액세스를 넘어 위협이 악용 후 도구 역할을 할 수 있도록 합니다. 즉, 공격자가 대체 방법을 통해 피해자의 네트워크에 진입하면 손상된 시스템에서 중요한 정보를 수집하기 위해 PowerDrop이 배포됩니다. 주요 목표는 민감한 데이터를 추출하고 피해자의 네트워크 내에서 감시를 수행하는 것입니다. Adlumin의 infosec 전문가가 위협에 대한 세부 정보를 공개했습니다.

PowerDrop 악성코드는 합법적인 프로세스와 시스템을 이용합니다.

이 악성코드는 명령 및 제어(C2) 서버와의 통신을 설정하기 위한 수단으로 ICMP(Internet Control Message Protocol) 에코 요청 메시지를 사용합니다. 이를 통해 맬웨어는 악의적인 작업을 시작할 수 있습니다.

ICMP 에코 요청 메시지를 수신하면 C2 서버는 암호화된 명령으로 응답한 다음 손상된 호스트에서 디코딩되고 실행됩니다. 실행된 명령의 결과를 유출하기 위해 유사한 ICMP 핑 메시지가 사용됩니다.

특히 WMI(Windows Management Instrumentation) 서비스를 활용하면 PowerShell 명령을 쉽게 실행할 수 있습니다. 이 선택은 적법한 시스템 프로세스를 활용하여 탐지를 회피하는 것을 목표로 하는 적의 의도적인 생존 전술을 사용함을 나타냅니다.

이 위협의 핵심 구조는 본질적으로 복잡한 설계를 가지고 있지 않을 수 있지만 의심스러운 활동을 숨기고 엔드포인트 보안 방어에 의한 탐지를 회피하는 능력은 보다 정교한 위협 행위자가 관여하고 있음을 시사합니다.

위협 행위자는 다양한 방법을 사용하여 개인 및 기업 네트워크에 침입합니다.

위협 행위자는 다양한 방법과 기술을 사용하여 기업 시스템에 침투하여 조직의 보안 인프라 내의 취약성과 약점을 악용합니다. 이러한 침투 기술은 방어를 우회하고 민감한 정보에 대한 무단 액세스를 목표로 하는 다양하고 정교할 수 있습니다. 몇 가지 일반적인 방법은 다음과 같습니다.

• 피싱 및 사회 공학: 위협 행위자는 피싱 이메일이나 전화 통화와 같은 기만적인 전술을 사용하여 직원을 속여 로그인 자격 증명이나 개인 정보와 같은 중요한 정보를 공개하도록 할 수 있습니다. 사회 공학 기술은 개인을 조작하여 회사 시스템에 대한 무단 액세스 권한을 얻습니다.
• 맬웨어 및 익스플로잇: 공격자는 악성 이메일 첨부 파일, 감염된 웹 사이트 또는 손상된 소프트웨어를 비롯한 다양한 수단을 통해 기업 시스템에 1단계 맬웨어를 도입할 수 있습니다. 소프트웨어 또는 시스템의 취약성을 악용하여 공격자는 중요한 인프라에 대한 무단 액세스 및 제어 권한을 얻을 수 있습니다.
• 공급망 공격: 위협 행위자는 보안 조치가 약한 타사 공급업체 또는 공급업체를 대상으로 하여 시스템의 취약성을 악용하여 기업 네트워크에 대한 액세스 권한을 얻을 수 있습니다. 안으로 들어가면 측면으로 이동하여 권한을 높일 수 있습니다.
• 무차별 대입 공격: 공격자는 올바른 자격 증명을 찾을 때까지 사용자 이름과 암호의 수많은 조합을 체계적으로 시도하여 기업 시스템에 대한 액세스 권한을 얻으려고 시도할 수 있습니다.
• RDP(원격 데스크톱 프로토콜) 공격: 위협 행위자는 노출된 RDP 포트를 대상으로 기업 시스템에 대한 무단 액세스 권한을 얻습니다. 이들은 취약한 암호나 RDP 소프트웨어의 취약점을 악용하여 네트워크를 손상시킬 수 있습니다.
• 제로데이 익스플로잇: 제로데이 취약점은 개발자가 패치를 적용하기 전에 위협 행위자가 발견한 알려지지 않은 소프트웨어 취약점을 말합니다. 공격자는 이러한 취약점을 악용하여 회사 시스템에 대한 무단 액세스 권한을 얻을 수 있습니다.

위협 행위자는 지속적으로 기술을 발전시키고 새로운 방법을 채택하여 기업 시스템에 침투합니다. 결과적으로 조직은 이러한 침입 시도로부터 보호하기 위해 정기적인 소프트웨어 업데이트, 직원 교육, 네트워크 분할, 침입 탐지 시스템 및 강력한 액세스 제어를 포함한 포괄적인 보안 조치를 구현해야 합니다.