Vairāku licenču atlaides
Threat Database Malware PowerDrop ļaunprātīga programmatūra

PowerDrop ļaunprātīga programmatūra

Līdz Mezo. gadam Malware. gadā
Tulkot uz:
Latviešu

ASV aviācijas un kosmosa industrija ir kļuvusi par mērķi neidentificētam ļaunprātīgam dalībniekam, kurš izmanto jaunatklātu uz PowerShell balstītu ļaunprogrammatūru, kas pazīstama kā PowerDrop. Kiberdrošības pētnieku ziņojums atklāj, ka PowerDrop izmanto sarežģītas metodes, lai izvairītos no atklāšanas, tostarp maldināšanu, kodēšanu un šifrēšanu. 2023. gada maijā tika atklāta ļaunprogrammatūra, kas implantēta kāda neizpausta ASV aviācijas un kosmosa aizsardzības darbuzņēmēja sistēmās.

PowerDrop apdraudošās funkcijas pārsniedz sākotnējo piekļuvi un ļauj draudiem darboties kā pēcekspluatācijas rīkam. Tas nozīmē, ka, tiklīdz uzbrucējs, izmantojot alternatīvas metodes, iekļūst upura tīklā, tiek izmantots PowerDrop, lai savāktu vērtīgu informāciju no apdraudētajām sistēmām. Tās galvenais mērķis ir iegūt sensitīvus datus un veikt uzraudzību upura tīklā. Sīkāku informāciju par draudiem izplatīja Adlumin infosec eksperti.

PowerDrop ļaunprogrammatūra izmanto likumīgu procesu un sistēmu priekšrocības

Ļaunprātīga programmatūra izmanto interneta vadības ziņojumu protokola (ICMP) atbalss pieprasījuma ziņojumus kā līdzekli, lai izveidotu saziņu ar Command-and-Control (C2) serveri. Tas ļauj ļaunprogrammatūrai uzsākt ļaunprātīgas darbības.

Saņemot ICMP atbalss pieprasījuma ziņojumu, C2 serveris atbild ar šifrētu komandu, kas pēc tam tiek atkodēta un izpildīta apdraudētajā resursdatorā. Lai izfiltrētu izpildītās instrukcijas rezultātus, tiek izmantots līdzīgs ICMP ping ziņojums.

Proti, komandas PowerShell izpilde tiek atvieglota, izmantojot Windows pārvaldības instrumentācijas (WMI) pakalpojumu. Šī izvēle norāda uz ienaidnieka apzinātu izbraukuma taktikas izmantošanu, lai izvairītos no atklāšanas, izmantojot likumīgus sistēmas procesus.

Lai gan šī apdraudējuma pamatstruktūra var nebūt pēc būtības sarežģīta, tā spēja aizēnot aizdomīgas darbības un izvairīties no noteikšanas ar galapunkta drošības aizsardzības līdzekļiem liecina par sarežģītāku apdraudējuma dalībnieku iesaistīšanos.

Draudu dalībnieki izmanto vairākas metodes, lai pārkāptu individuālos un korporatīvos tīklus

Draudi dalībnieki izmanto dažādas metodes un paņēmienus, lai iefiltrētos korporatīvajās sistēmās, izmantojot organizācijas drošības infrastruktūras ievainojamības un vājās vietas. Šīs infiltrācijas metodes var būt dažādas un sarežģītas, kuru mērķis ir apiet aizsardzību un iegūt nesankcionētu piekļuvi sensitīvai informācijai. Dažas izplatītas metodes ietver:

  • Pikšķerēšana un sociālā inženierija: draudu dalībnieki var izmantot maldinošu taktiku, piemēram, pikšķerēšanas e-pasta ziņojumus vai tālruņa zvanus, lai pievilinātu darbiniekus atklāt sensitīvu informāciju, piemēram, pieteikšanās akreditācijas datus vai personas datus. Sociālās inženierijas metodes manipulē ar personām, lai iegūtu nesankcionētu piekļuvi korporatīvajām sistēmām.
  • Ļaunprātīga programmatūra un ļaunprātīga izmantošana: uzbrucēji var ieviest pirmās pakāpes ļaunprātīgu programmatūru korporatīvajās sistēmās, izmantojot dažādus līdzekļus, tostarp ļaunprātīgus e-pasta pielikumus, inficētas vietnes vai uzlauztu programmatūru. Izmantojot programmatūras vai sistēmu ievainojamības, apdraudējuma dalībnieki var iegūt nesankcionētu piekļuvi un kontroli pār kritisko infrastruktūru.
  • Piegādes ķēdes uzbrukumi: draudu dalībnieki var vērsties pret trešo pušu pārdevējiem vai piegādātājiem ar vājākiem drošības pasākumiem, izmantojot savu sistēmu ievainojamības, lai iegūtu piekļuvi korporatīvajam tīklam. Iekļuvuši iekšā, viņi var pārvietoties uz sāniem un palielināt savas privilēģijas.
  • Brutāla spēka uzbrukumi: uzbrucēji var mēģināt piekļūt korporatīvajām sistēmām, sistemātiski izmēģinot vairākas lietotājvārdu un paroļu kombinācijas, līdz viņi atklāj pareizos akreditācijas datus.
  • Attālās darbvirsmas protokola (RDP) uzbrukumi: draudu dalībnieki vēršas pret atklātajiem RDP portiem, lai iegūtu nesankcionētu piekļuvi korporatīvajām sistēmām. Viņi var izmantot vājas paroles vai LAP programmatūras ievainojamības, lai apdraudētu tīklu.
  • Zero-Day Exploits: Nulles dienas ievainojamības attiecas uz nezināmām programmatūras ievainojamībām, kuras apdraudētāji atklāj, pirms izstrādātāji var tās salabot. Uzbrucēji var izmantot šīs ievainojamības, lai iegūtu nesankcionētu piekļuvi korporatīvajām sistēmām.

Draudi dalībnieki nepārtraukti pilnveido savas metodes un pieņem jaunas metodes, lai iefiltrētos korporatīvajās sistēmās. Rezultātā organizācijām ir jāievieš visaptveroši drošības pasākumi, tostarp regulāri programmatūras atjauninājumi, darbinieku apmācība, tīkla segmentācija, ielaušanās atklāšanas sistēmas un spēcīgas piekļuves kontroles, lai aizsargātu pret šiem iefiltrēšanās mēģinājumiem.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...