Złośliwe oprogramowanie PowerDrop

Amerykański przemysł lotniczy stał się celem niezidentyfikowanego złośliwego aktora używającego nowo odkrytego złośliwego oprogramowania opartego na PowerShell, znanego jako PowerDrop. Raport naukowców zajmujących się cyberbezpieczeństwem ujawnia, że PowerDrop wykorzystuje wyrafinowane metody unikania wykrycia, w tym oszustwa, kodowania i szyfrowania. W maju 2023 roku wykryto złośliwe oprogramowanie wszczepione w systemy nieujawnionego amerykańskiego wykonawcy obrony powietrznej.

Zagrożone funkcje PowerDrop wykraczają poza początkowy dostęp i pozwalają zagrożeniu służyć jako narzędzie poeksploatacyjne. Oznacza to, że gdy atakujący uzyska dostęp do sieci ofiary za pomocą alternatywnych metod, wdrażany jest PowerDrop w celu zebrania cennych informacji z zaatakowanych systemów. Jego głównym celem jest wydobycie wrażliwych danych i prowadzenie inwigilacji w sieci ofiary. Szczegóły dotyczące zagrożenia zostały ujawnione przez ekspertów infosec z firmy Adlumin.

Złośliwe oprogramowanie PowerDrop wykorzystuje legalne procesy i systemy

Szkodliwe oprogramowanie wykorzystuje komunikaty żądania echa protokołu ICMP (Internet Control Message Protocol) jako środek do nawiązania komunikacji z serwerem Command-and-Control (C2). Umożliwia to złośliwemu oprogramowaniu inicjowanie złośliwych operacji.

Po otrzymaniu komunikatu żądania echa ICMP serwer C2 odpowiada zaszyfrowanym poleceniem, które jest następnie dekodowane i wykonywane na zagrożonym hoście. Aby wyodrębnić wyniki wykonanej instrukcji, używany jest podobny komunikat ICMP ping.

W szczególności wykonanie polecenia PowerShell jest ułatwione dzięki wykorzystaniu usługi Windows Management Instrumentation (WMI). Ten wybór wskazuje na celowe stosowanie przez przeciwnika taktyki życia poza ziemią, mającej na celu uniknięcie wykrycia poprzez wykorzystanie legalnych procesów systemowych.

Chociaż podstawowa struktura tego zagrożenia może nie mieć z natury złożonego projektu, jego zdolność do ukrywania podejrzanych działań i unikania wykrycia przez zabezpieczenia punktów końcowych sugeruje zaangażowanie bardziej wyrafinowanych cyberprzestępców.

Zagrożenia wykorzystują wiele metod do włamań do sieci indywidualnych i korporacyjnych

Przestępcy stosują różne metody i techniki w celu infiltracji systemów korporacyjnych, wykorzystując luki i słabości w infrastrukturze bezpieczeństwa organizacji. Te techniki infiltracji mogą być różnorodne i wyrafinowane, a ich celem jest ominięcie zabezpieczeń i uzyskanie nieautoryzowanego dostępu do poufnych informacji. Niektóre typowe metody obejmują:

• Wyłudzanie informacji i inżynieria społeczna: osoby odpowiedzialne za zagrożenie mogą wykorzystywać oszukańcze taktyki, takie jak phishingowe wiadomości e-mail lub rozmowy telefoniczne, aby nakłonić pracowników do ujawnienia poufnych informacji, takich jak dane logowania lub dane osobowe. Techniki socjotechniczne manipulują osobami w celu uzyskania nieautoryzowanego dostępu do systemów korporacyjnych.
• Złośliwe oprogramowanie i luki w zabezpieczeniach: osoby atakujące mogą wprowadzać złośliwe oprogramowanie pierwszego stopnia do systemów korporacyjnych za pomocą różnych środków, w tym złośliwych załączników do wiadomości e-mail, zainfekowanych witryn internetowych lub skompromitowanego oprogramowania. Wykorzystując luki w oprogramowaniu lub systemach, cyberprzestępcy mogą uzyskać nieautoryzowany dostęp i kontrolę nad infrastrukturą krytyczną.
• Ataki w łańcuchu dostaw: Aktorzy zagrożeń mogą atakować dostawców zewnętrznych lub dostawców ze słabszymi środkami bezpieczeństwa, wykorzystując luki w ich systemach w celu uzyskania dostępu do sieci korporacyjnej. Po wejściu do środka mogą poruszać się w bok i zwiększać swoje przywileje.
• Ataki typu brute-force: osoby atakujące mogą próbować uzyskać dostęp do systemów korporacyjnych, systematycznie wypróbowując liczne kombinacje nazw użytkowników i haseł, dopóki nie odkryją poprawnych danych uwierzytelniających.
• Ataki Remote Desktop Protocol (RDP): Aktorzy atakujący atakują odsłonięte porty RDP, aby uzyskać nieautoryzowany dostęp do systemów korporacyjnych. Mogą wykorzystywać słabe hasła lub luki w oprogramowaniu RDP, aby naruszyć bezpieczeństwo sieci.
• Exploity dnia zerowego: Luki dnia zerowego odnoszą się do nieznanych luk w oprogramowaniu, które cyberprzestępcy odkrywają, zanim programiści będą mogli je załatać. Atakujący mogą wykorzystać te luki w celu uzyskania nieautoryzowanego dostępu do systemów korporacyjnych.

Aktorzy stanowiący zagrożenie stale rozwijają swoje techniki i przyjmują nowe metody infiltracji systemów korporacyjnych. W rezultacie organizacje muszą wdrożyć kompleksowe środki bezpieczeństwa, w tym regularne aktualizacje oprogramowania, szkolenia pracowników, segmentację sieci, systemy wykrywania włamań i solidną kontrolę dostępu, aby chronić się przed takimi próbami infiltracji.