PowerDrop Malware

A indústria aeroespacial dos EUA tornou-se o alvo de um ator mal-intencionado não identificado que usa um malware recém-descoberto baseado em PowerShell, conhecido como PowerDrop. Um relatório de pesquisadores de segurança cibernética revela que o PowerDrop utiliza métodos sofisticados para evitar a detecção, incluindo engano, codificação e criptografia. Em maio de 2023, o malware foi descoberto implantado nos sistemas de um empreiteiro de defesa aeroespacial não divulgado dos EUA.

As funções ameaçadoras do PowerDrop vão além do acesso inicial e permitem que a ameaça sirva como uma ferramenta pós-exploração. Isso significa que, assim que o invasor consegue entrar na rede da vítima por meio de métodos alternativos, o PowerDrop é implantado para coletar informações valiosas dos sistemas comprometidos. Seu objetivo principal é extrair dados confidenciais e conduzir vigilância dentro da rede da vítima. Detalhes sobre a ameaça foram divulgados pelos especialistas em infosec da Adlumin.

O PowerDrop Malware Tira Vantagens de Processos e Sistemas Legítimos

O malware utiliza mensagens de solicitação de eco do Protocolo de Mensagens de Controle da Internet (ICMP) como meio de estabelecer comunicação com um servidor de Comando e Controle (C2). Isso permite que o malware inicie suas operações maliciosas.

Ao receber a mensagem de solicitação de eco ICMP, o servidor C2 responde com um comando criptografado, que é então decodificado e executado no host comprometido. Para exfiltrar os resultados da instrução executada, uma mensagem de ping ICMP semelhante é empregada.

Notavelmente, a execução do comando PowerShell é facilitada pela utilização do serviço Windows Management Instrumentation (WMI). Essa escolha indica o uso deliberado do adversário de táticas de viver fora da terra, com o objetivo de evitar a detecção, aproveitando os processos legítimos do sistema.

Embora a estrutura central dessa ameaça possa não possuir um design inerentemente complexo, sua capacidade de ocultar atividades suspeitas e evitar a detecção por defesas de segurança de endpoint sugere o envolvimento de agentes de ameaças mais sofisticados.

Os Autores de Ameaças Usam Vários Métodos para Violar Redes Individuais e Corporativas

Atores de ameaças empregam vários métodos e técnicas para se infiltrar em sistemas corporativos, explorando vulnerabilidades e pontos fracos na infraestrutura de segurança da organização. Essas técnicas de infiltração podem ser diversas e sofisticadas, com o objetivo de contornar as defesas e obter acesso não autorizado a informações confidenciais. Alguns métodos comuns incluem:

• • Phishing e engenharia social: os criminosos podem usar táticas enganosas, como e-mails de phishing ou telefonemas, para induzir os funcionários a divulgar informações confidenciais, como credenciais de login ou detalhes pessoais. Técnicas de engenharia social manipulam indivíduos para obter acesso não autorizado a sistemas corporativos.

• • Malware e Exploits: Os invasores podem introduzir malware de primeiro estágio nos sistemas corporativos por vários meios, incluindo anexos de e-mail maliciosos, sites infectados ou software comprometido. Ao explorar vulnerabilidades em software ou sistemas, os agentes de ameaças podem obter acesso não autorizado e controle sobre a infraestrutura crítica.

• • Ataques à cadeia de suprimentos: os agentes de ameaças podem atingir fornecedores terceirizados ou fornecedores com medidas de segurança mais fracas, explorando vulnerabilidades em seus sistemas para obter acesso à rede corporativa. Uma vez lá dentro, eles podem se mover lateralmente e escalar seus privilégios.

• • Ataques de força bruta: os invasores podem tentar obter acesso a sistemas corporativos tentando sistematicamente várias combinações de nomes de usuário e senhas até descobrirem as credenciais corretas.

• • Ataques ao Protocolo da Área de Trabalho Remota (RDP): os agentes de ameaças visam portas RDP expostas para obter acesso não autorizado a sistemas corporativos. Eles podem explorar senhas fracas ou vulnerabilidades no software RDP para comprometer a rede.

• • Explorações de dia zero: As vulnerabilidades de dia zero referem-se a vulnerabilidades de software desconhecidas que os agentes de ameaças descobrem antes que os desenvolvedores possam corrigi-los. Os invasores podem explorar essas vulnerabilidades para obter acesso não autorizado a sistemas corporativos.

Os agentes de ameaças evoluem continuamente suas técnicas e adotam novos métodos para se infiltrar nos sistemas corporativos. Como resultado, as organizações devem implementar medidas de segurança abrangentes, incluindo atualizações regulares de software, treinamento de funcionários, segmentação de rede, sistemas de detecção de intrusão e controles de acesso robustos, para proteção contra essas tentativas de infiltração.