Perisian Hasad PowerDrop

Industri aeroangkasa AS telah menjadi sasaran pelakon jahat yang tidak dikenali menggunakan perisian hasad berasaskan PowerShell yang baru ditemui dikenali sebagai PowerDrop. Laporan oleh penyelidik keselamatan siber mendedahkan bahawa PowerDrop menggunakan kaedah yang canggih untuk mengelakkan pengesanan, termasuk penipuan, pengekodan dan penyulitan. Pada Mei 2023, perisian hasad itu ditemui ditanam dalam sistem kontraktor pertahanan aeroangkasa AS yang tidak didedahkan.

Fungsi mengancam PowerDrop melangkaui akses awal dan membenarkan ancaman berfungsi sebagai alat pasca eksploitasi. Ini bermakna apabila penyerang mendapat kemasukan ke dalam rangkaian mangsa melalui kaedah alternatif, PowerDrop digunakan untuk mengumpulkan maklumat berharga daripada sistem yang terjejas. Objektif utamanya adalah untuk mengekstrak data sensitif dan menjalankan pengawasan dalam rangkaian mangsa. Butiran tentang ancaman itu dikeluarkan oleh pakar infosec di Adlumin.

Perisian Hasad PowerDrop Mengambil Kelebihan Proses dan Sistem yang Sah

Perisian hasad menggunakan mesej permintaan gema Protokol Mesej Kawalan Internet (ICMP) sebagai satu cara untuk mewujudkan komunikasi dengan pelayan Perintah-dan-Kawalan (C2). Ini membolehkan perisian hasad memulakan operasi berniat jahatnya.

Setelah menerima mesej permintaan gema ICMP, pelayan C2 bertindak balas dengan arahan yang disulitkan, yang kemudiannya dinyahkod dan dilaksanakan pada hos yang terjejas. Untuk mengeksfiltrasi keputusan arahan yang dilaksanakan, mesej ping ICMP yang serupa digunakan.

Terutama, pelaksanaan perintah PowerShell dipermudahkan melalui penggunaan perkhidmatan Instrumen Pengurusan Windows (WMI). Pilihan ini menunjukkan musuh sengaja menggunakan taktik hidup-luar-tanah, bertujuan untuk mengelak pengesanan dengan memanfaatkan proses sistem yang sah.

Walaupun struktur teras ancaman ini mungkin tidak mempunyai reka bentuk yang kompleks, keupayaannya untuk mengaburkan aktiviti yang mencurigakan dan mengelak pengesanan oleh pertahanan keselamatan titik akhir mencadangkan penglibatan aktor ancaman yang lebih canggih.

Aktor Ancaman Menggunakan Pelbagai Kaedah untuk Menceroboh Rangkaian Individu dan Korporat

Aktor ancaman menggunakan pelbagai kaedah dan teknik untuk menyusup ke sistem korporat, mengeksploitasi kelemahan dan kelemahan dalam infrastruktur keselamatan organisasi. Teknik penyusupan ini boleh menjadi pelbagai dan canggih, bertujuan untuk memintas pertahanan dan mendapatkan akses tanpa kebenaran kepada maklumat sensitif. Beberapa kaedah biasa termasuk:

• Pancingan data dan Kejuruteraan Sosial: Aktor ancaman boleh menggunakan taktik memperdaya, seperti e-mel pancingan data atau panggilan telefon, untuk menipu pekerja supaya mendedahkan maklumat sensitif, seperti bukti kelayakan log masuk atau butiran peribadi. Teknik kejuruteraan sosial memanipulasi individu untuk mendapatkan akses tanpa kebenaran kepada sistem korporat.
• Perisian Hasad dan Eksploitasi: Penyerang boleh memperkenalkan perisian hasad peringkat pertama ke dalam sistem korporat melalui pelbagai cara, termasuk lampiran e-mel berniat jahat, tapak web yang dijangkiti atau perisian yang terjejas. Dengan mengeksploitasi kelemahan dalam perisian atau sistem, pelaku ancaman boleh memperoleh akses dan kawalan tanpa kebenaran ke atas infrastruktur kritikal.
• Serangan Rantaian Bekalan: Aktor ancaman boleh menyasarkan vendor atau pembekal pihak ketiga dengan langkah keselamatan yang lebih lemah, mengeksploitasi kelemahan dalam sistem mereka untuk mendapatkan akses kepada rangkaian korporat. Sebaik sahaja di dalam, mereka boleh bergerak ke sisi dan meningkatkan keistimewaan mereka.
• Serangan Brute-Force: Penyerang boleh cuba mendapatkan akses kepada sistem korporat dengan mencuba pelbagai kombinasi nama pengguna dan kata laluan secara sistematik sehingga mereka menemui bukti kelayakan yang betul.
• Serangan Protokol Desktop Jauh (RDP): Aktor ancaman menyasarkan port RDP yang terdedah untuk mendapatkan akses tanpa kebenaran kepada sistem korporat. Mereka mungkin mengeksploitasi kata laluan yang lemah atau kelemahan dalam perisian RDP untuk menjejaskan rangkaian.
• Eksploitasi Sifar Hari: Kelemahan sifar hari merujuk kepada kelemahan perisian yang tidak diketahui yang ditemui oleh pelaku ancaman sebelum pembangun boleh menambalnya. Penyerang boleh mengeksploitasi kelemahan ini untuk mendapatkan akses tanpa kebenaran kepada sistem korporat.

Aktor ancaman terus mengembangkan teknik mereka dan menggunakan kaedah baharu untuk menyusup ke sistem korporat. Akibatnya, organisasi mesti melaksanakan langkah keselamatan yang komprehensif, termasuk kemas kini perisian biasa, latihan pekerja, pembahagian rangkaian, sistem pengesanan pencerobohan dan kawalan akses yang mantap, untuk melindungi daripada percubaan penyusupan ini.