Kelių licencijų nuolaidos
Threat Database Malware Kenkėjiška programa „PowerDrop“.

Kenkėjiška programa „PowerDrop“.

Autorius Mezo, Malware
Versti į:
Lietuvių

JAV aviacijos ir kosmoso pramonė tapo taikiniu nenustatytam piktam veikėjui, naudojančiam naujai atrastą PowerShell pagrindu veikiančią kenkėjišką programą, žinomą kaip PowerDrop. Kibernetinio saugumo tyrėjų ataskaita atskleidžia, kad „PowerDrop“ naudoja sudėtingus metodus, kad išvengtų aptikimo, įskaitant apgaulę, kodavimą ir šifravimą. 2023 m. gegužę kenkėjiška programa buvo aptikta įterpta į neatskleistos JAV aviacijos ir erdvės gynybos rangovo sistemas.

Grėsmingos „PowerDrop“ funkcijos neapsiriboja pradine prieiga ir leidžia grėsmei tarnauti kaip priemonė po išnaudojimo. Tai reiškia, kad užpuolikui alternatyviais metodais patekus į aukos tinklą, „PowerDrop“ bus įdiegta siekiant surinkti vertingos informacijos iš pažeistų sistemų. Pagrindinis jos tikslas yra išgauti neskelbtinus duomenis ir vykdyti stebėjimą aukos tinkle. Išsamią informaciją apie grėsmę paskelbė „Adlumin“ infosec ekspertai.

Kenkėjiška „PowerDrop“ programa naudojasi teisėtų procesų ir sistemų pranašumais

Kenkėjiška programa naudoja interneto valdymo pranešimų protokolo (ICMP) aido užklausos pranešimus kaip priemonę ryšiui su komandų ir valdymo (C2) serveriu užmegzti. Tai leidžia kenkėjiškajai programai pradėti savo kenkėjiškas operacijas.

Gavęs ICMP aido užklausos pranešimą, C2 serveris atsako šifruota komanda, kuri vėliau iššifruojama ir vykdoma pažeistame pagrindiniame kompiuteryje. Norint išfiltruoti vykdomos instrukcijos rezultatus, naudojamas panašus ICMP ping pranešimas.

Pažymėtina, kad „PowerShell“ komandos vykdymas palengvinamas naudojant „Windows Management Instrumentation“ (WMI) paslaugą. Šis pasirinkimas rodo, kad priešas sąmoningai naudoja gyvenimo ne žemėje taktiką, kuriuo siekiama išvengti aptikimo pasinaudojant teisėtais sistemos procesais.

Nors pagrindinė šios grėsmės struktūra negali būti iš esmės sudėtinga, jos gebėjimas užgožti įtartiną veiklą ir išvengti aptikimo galutinio taško saugumo priemonėmis rodo, kad dalyvauja sudėtingesni grėsmės veikėjai.

Grėsmės veikėjai naudoja kelis metodus, kad pažeistų individualius ir įmonių tinklus

Grėsmių dalyviai taiko įvairius metodus ir metodus, kad įsiskverbtų į įmonių sistemas, išnaudodami organizacijos saugumo infrastruktūros pažeidžiamumą ir trūkumus. Šie įsiskverbimo būdai gali būti įvairūs ir sudėtingi, siekiant apeiti apsaugą ir gauti neteisėtą prieigą prie neskelbtinos informacijos. Kai kurie įprasti metodai:

  • Sukčiavimas ir socialinė inžinerija: grėsmės veikėjai gali naudoti apgaulingą taktiką, pvz., sukčiavimo el. laiškus ar telefono skambučius, kad apgautų darbuotojus, kad jie atskleistų neskelbtiną informaciją, pvz., prisijungimo duomenis ar asmeninę informaciją. Socialinės inžinerijos metodai manipuliuoja asmenimis, kad gautų neteisėtą prieigą prie įmonių sistemų.
  • Kenkėjiškos programos ir išnaudojimai: užpuolikai gali įnešti pirmos pakopos kenkėjiškas programas į įmonių sistemas įvairiais būdais, įskaitant kenkėjiškus el. pašto priedus, užkrėstas svetaines ar pažeistą programinę įrangą. Išnaudodami programinės įrangos ar sistemų pažeidžiamumą, grėsmės subjektai gali gauti neteisėtą prieigą ir kontroliuoti svarbiausią infrastruktūrą.
  • Tiekimo grandinės atakos: grėsmės veikėjai gali nusitaikyti į trečiųjų šalių tiekėjus arba tiekėjus, kuriems taikomos silpnesnės saugos priemonės, išnaudodami savo sistemų pažeidžiamumą, kad gautų prieigą prie įmonės tinklo. Patekę į vidų, jie gali judėti į šoną ir padidinti savo privilegijas.
  • Brute-Force atakos: užpuolikai gali bandyti gauti prieigą prie įmonės sistemų, sistemingai bandydami daugybę vartotojų vardų ir slaptažodžių derinių, kol atras tinkamus kredencialus.
  • Nuotolinio darbalaukio protokolo (RDP) atakos: grėsmės dalyviai taikosi į atvirus KPP prievadus, kad gautų neteisėtą prieigą prie įmonės sistemų. Jie gali išnaudoti silpnus slaptažodžius arba KPP programinės įrangos pažeidžiamumą, kad pakenktų tinklui.
  • Nulinės dienos išnaudojimai: Nulinės dienos pažeidžiamumas reiškia nežinomas programinės įrangos spragas, kurias grėsmės veikėjai atranda prieš kūrėjams galint jas pataisyti. Užpuolikai gali išnaudoti šias spragas, kad gautų neteisėtą prieigą prie įmonės sistemų.

Grėsmės veikėjai nuolat tobulina savo metodus ir taiko naujus metodus, kad įsiskverbtų į įmonių sistemas. Dėl to organizacijos turi įdiegti visapusiškas saugumo priemones, įskaitant reguliarius programinės įrangos atnaujinimus, darbuotojų mokymą, tinklo segmentavimą, įsibrovimo aptikimo sistemas ir patikimą prieigos kontrolę, kad apsisaugotų nuo šių bandymų įsiskverbti.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,882
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...