PowerDrop-malware

De Amerikaanse lucht- en ruimtevaartindustrie is het doelwit geworden van een niet-geïdentificeerde boosaardige acteur die een nieuw ontdekte op PowerShell gebaseerde malware gebruikt, bekend als PowerDrop. Uit een rapport van cyberbeveiligingsonderzoekers blijkt dat PowerDrop geavanceerde methoden gebruikt om detectie te voorkomen, waaronder misleiding, codering en codering. In mei 2023 werd ontdekt dat de malware was geïmplanteerd in de systemen van een niet nader genoemde Amerikaanse lucht- en ruimtevaartdefensiecontractant.

De bedreigende functies van PowerDrop gaan verder dan initiële toegang en zorgen ervoor dat de dreiging kan dienen als hulpmiddel na uitbuiting. Dit betekent dat zodra de aanvaller via alternatieve methoden toegang krijgt tot het netwerk van een slachtoffer, PowerDrop wordt ingezet om waardevolle informatie van de gecompromitteerde systemen te verzamelen. Het primaire doel is om gevoelige gegevens te extraheren en surveillance uit te voeren binnen het netwerk van het slachtoffer. Details over de dreiging zijn vrijgegeven door de infosec-experts van Adlumin.

De PowerDrop-malware maakt gebruik van legitieme processen en systemen

De malware gebruikt ICMP-echoverzoekberichten (Internet Control Message Protocol) om communicatie met een Command-and-Control-server (C2) tot stand te brengen. Hierdoor kan de malware zijn kwaadaardige operaties starten.

Na ontvangst van het ICMP-echoverzoekbericht reageert de C2-server met een gecodeerde opdracht, die vervolgens wordt gedecodeerd en uitgevoerd op de gecompromitteerde host. Om de resultaten van de uitgevoerde instructie te exfiltreren, wordt een soortgelijk ICMP-pingbericht gebruikt.

Met name de uitvoering van de PowerShell-opdracht wordt vergemakkelijkt door het gebruik van de Windows Management Instrumentation (WMI)-service. Deze keuze geeft aan dat de tegenstander opzettelijk gebruik maakt van tactieken om buiten het land te leven, met als doel detectie te omzeilen door gebruik te maken van legitieme systeemprocessen.

Hoewel de kernstructuur van deze dreiging misschien geen inherent complex ontwerp heeft, suggereert het vermogen ervan om verdachte activiteiten te verhullen en detectie door eindpuntbeveiligingsverdedigingen te omzeilen, de betrokkenheid van meer geavanceerde dreigingsactoren.

Bedreigingsactoren gebruiken meerdere methoden om individuele en bedrijfsnetwerken te doorbreken

Bedreigingsactoren gebruiken verschillende methoden en technieken om bedrijfssystemen te infiltreren en misbruik te maken van kwetsbaarheden en zwakheden in de beveiligingsinfrastructuur van de organisatie. Deze infiltratietechnieken kunnen divers en geavanceerd zijn, met als doel de verdediging te omzeilen en ongeoorloofde toegang tot gevoelige informatie te verkrijgen. Enkele veelgebruikte methoden zijn:

• Phishing en social engineering: aanvallers kunnen misleidende tactieken gebruiken, zoals phishing-e-mails of telefoontjes, om werknemers te misleiden zodat ze gevoelige informatie vrijgeven, zoals inloggegevens of persoonlijke gegevens. Social engineering-technieken manipuleren individuen om ongeoorloofde toegang tot bedrijfssystemen te krijgen.
• Malware en exploits: aanvallers kunnen op verschillende manieren eerste fase malware in bedrijfssystemen introduceren, waaronder kwaadaardige e-mailbijlagen, geïnfecteerde websites of gecompromitteerde software. Door misbruik te maken van kwetsbaarheden in software of systemen, kunnen kwaadwillenden ongeoorloofde toegang krijgen tot en controle krijgen over kritieke infrastructuur.
• Aanvallen op de toeleveringsketen: bedreigingsactoren kunnen zich richten op externe leveranciers of leveranciers met zwakkere beveiligingsmaatregelen, waarbij ze misbruik maken van kwetsbaarheden in hun systemen om toegang te krijgen tot het bedrijfsnetwerk. Eenmaal binnen kunnen ze zijwaarts bewegen en hun privileges verhogen.
• Brute-force-aanvallen: aanvallers kunnen proberen toegang te krijgen tot bedrijfssystemen door systematisch talloze combinaties van gebruikersnamen en wachtwoorden uit te proberen totdat ze de juiste inloggegevens ontdekken.
• Remote Desktop Protocol (RDP)-aanvallen: bedreigingsactoren richten zich op blootgestelde RDP-poorten om ongeoorloofde toegang tot bedrijfssystemen te krijgen. Ze kunnen zwakke wachtwoorden of kwetsbaarheden in de RDP-software misbruiken om het netwerk te compromitteren.
• Zero-day-exploits: Zero-day-kwetsbaarheden verwijzen naar onbekende softwarekwetsbaarheden die bedreigingsactoren ontdekken voordat ontwikkelaars ze kunnen patchen. Aanvallers kunnen deze kwetsbaarheden misbruiken om ongeoorloofde toegang tot bedrijfssystemen te verkrijgen.

Bedreigingsactoren ontwikkelen voortdurend hun technieken en passen nieuwe methoden toe om bedrijfssystemen te infiltreren. Als gevolg hiervan moeten organisaties uitgebreide beveiligingsmaatregelen implementeren, waaronder regelmatige software-updates, training van werknemers, netwerksegmentatie, inbraakdetectiesystemen en robuuste toegangscontroles, om zich te beschermen tegen deze infiltratiepogingen.