PowerDrop skadelig programvare

Den amerikanske romfartsindustrien har blitt målet for en uidentifisert ondsinnet aktør som bruker en nylig oppdaget PowerShell-basert skadelig programvare kjent som PowerDrop. En rapport fra cybersikkerhetsforskere avslører at PowerDrop bruker sofistikerte metoder for å unngå oppdagelse, inkludert bedrag, koding og kryptering. I mai 2023 ble skadevaren oppdaget implantert i systemene til en ikke avslørt amerikansk luftfartsforsvarsentreprenør.

De truende funksjonene til PowerDrop går utover den første tilgangen og lar trusselen tjene som et verktøy etter utnyttelse. Dette betyr at når angriperen får tilgang til et offers nettverk gjennom alternative metoder, blir PowerDrop distribuert for å samle verdifull informasjon fra de kompromitterte systemene. Dens primære mål er å trekke ut sensitive data og gjennomføre overvåking innenfor offerets nettverk. Detaljer om trusselen ble frigitt av infosec-ekspertene hos Adlumin.

PowerDrop Malware drar fordel av legitime prosesser og systemer

Skadevaren bruker Internet Control Message Protocol (ICMP) ekkoforespørselsmeldinger som et middel for å etablere kommunikasjon med en Command-and-Control-server (C2). Dette gjør det mulig for skadelig programvare å starte sine ondsinnede operasjoner.

Ved mottak av ICMP-ekkoforespørselsmeldingen, svarer C2-serveren med en kryptert kommando, som deretter dekodes og utføres på den kompromitterte verten. For å eksfiltrere resultatene av den utførte instruksjonen, brukes en lignende ICMP-pingmelding.

Spesielt er kjøringen av PowerShell-kommandoen forenklet gjennom bruk av Windows Management Instrumentation (WMI)-tjenesten. Dette valget indikerer motstanderens bevisste bruk av leve-av-landet-taktikker, med sikte på å unngå oppdagelse ved å utnytte legitime systemprosesser.

Selv om kjernestrukturen til denne trusselen kanskje ikke har en iboende kompleks design, antyder dens evne til å skjule mistenkelige aktiviteter og unngå oppdagelse av endepunktsikkerhetsforsvar involvering av mer sofistikerte trusselaktører.

Trusselaktører bruker flere metoder for å bryte individuelle og bedriftsnettverk

Trusselaktører bruker ulike metoder og teknikker for å infiltrere bedriftssystemer, utnytte sårbarheter og svakheter i organisasjonens sikkerhetsinfrastruktur. Disse infiltrasjonsteknikkene kan være mangfoldige og sofistikerte, med sikte på å omgå forsvar og få uautorisert tilgang til sensitiv informasjon. Noen vanlige metoder inkluderer:

• Phishing og sosial teknikk: Trusselaktører kan bruke villedende taktikker, som phishing-e-post eller telefonsamtaler, for å lure ansatte til å avsløre sensitiv informasjon, for eksempel påloggingsinformasjon eller personlige opplysninger. Sosiale ingeniørteknikker manipulerer enkeltpersoner for å få uautorisert tilgang til bedriftssystemer.
• Skadelig programvare og utnyttelse: Angripere kan introdusere skadelig programvare i første trinn i bedriftssystemer på ulike måter, inkludert ondsinnede e-postvedlegg, infiserte nettsteder eller kompromittert programvare. Ved å utnytte sårbarheter i programvare eller systemer kan trusselaktører få uautorisert tilgang og kontroll over kritisk infrastruktur.
• Supply Chain Attacks: Trusselaktører kan målrette mot tredjepartsleverandører eller leverandører med svakere sikkerhetstiltak, utnytte sårbarheter i systemene deres for å få tilgang til bedriftens nettverk. Når de er inne, kan de bevege seg sideveis og eskalere privilegiene sine.
• Brute-Force-angrep: Angripere kan forsøke å få tilgang til bedriftens systemer ved systematisk å prøve en rekke kombinasjoner av brukernavn og passord til de finner den riktige legitimasjonen.
• Remote Desktop Protocol (RDP)-angrep: Trusselaktører retter seg mot utsatte RDP-porter for å få uautorisert tilgang til bedriftssystemer. De kan utnytte svake passord eller sårbarheter i RDP-programvaren for å kompromittere nettverket.
• Zero-Day Exploits: Zero-day sårbarheter refererer til ukjente programvaresårbarheter som trusselaktører oppdager før utviklere kan lappe dem. Angripere kan utnytte disse sårbarhetene for å få uautorisert tilgang til bedriftens systemer.

Trusselaktører utvikler kontinuerlig teknikkene sine og tar i bruk nye metoder for å infiltrere bedriftssystemer. Som et resultat må organisasjoner implementere omfattende sikkerhetstiltak, inkludert regelmessige programvareoppdateringer, opplæring av ansatte, nettverkssegmentering, inntrengningsdeteksjonssystemer og robuste tilgangskontroller, for å beskytte mot disse infiltrasjonsforsøkene.