PowerDrop Malware

Industria aerospațială din SUA a devenit ținta unui actor neidentificat cu minte răutăcioasă, care folosește un malware nou descoperit, bazat pe PowerShell, cunoscut sub numele de PowerDrop. Un raport al cercetătorilor în securitate cibernetică dezvăluie că PowerDrop utilizează metode sofisticate pentru a evita detectarea, inclusiv înșelăciune, codificare și criptare. În mai 2023, malware-ul a fost descoperit implantat în sistemele unui contractant american de apărare aerospațială nedezvăluit.

Funcțiile amenințătoare ale PowerDrop depășesc accesul inițial și permit amenințării să servească drept instrument de post-exploatare. Aceasta înseamnă că, odată ce atacatorul obține intrarea în rețeaua victimei prin metode alternative, PowerDrop este implementat pentru a colecta informații valoroase din sistemele compromise. Obiectivul său principal este de a extrage date sensibile și de a efectua supraveghere în cadrul rețelei victimei. Detalii despre amenințare au fost făcute publice de experții infosec de la Adlumin.

Programul malware PowerDrop profită de procesele și sistemele legitime

Programul malware utilizează mesaje de solicitare ecou Internet Control Message Protocol (ICMP) ca mijloc de a stabili comunicarea cu un server Command-and-Control (C2). Acest lucru permite malware-ului să-și inițieze operațiunile rău intenționate.

La primirea mesajului de solicitare ecou ICMP, serverul C2 răspunde cu o comandă criptată, care este apoi decodificată și executată pe gazda compromisă. Pentru a exfiltra rezultatele instrucțiunii executate, este folosit un mesaj ping ICMP similar.

În special, execuția comenzii PowerShell este facilitată prin utilizarea serviciului Windows Management Instrumentation (WMI). Această alegere indică utilizarea deliberată de către adversar a tacticilor de a trăi din pământ, cu scopul de a evita detectarea prin valorificarea proceselor legitime ale sistemului.

Deși structura de bază a acestei amenințări poate să nu aibă un design în mod inerent complex, capacitatea sa de a ascunde activitățile suspecte și de a evita detectarea de către apărările de securitate la punctul final sugerează implicarea unor actori mai sofisticați ai amenințărilor.

Actorii amenințărilor folosesc mai multe metode pentru a încălca rețelele individuale și corporative

Actorii amenințărilor folosesc diverse metode și tehnici pentru a se infiltra în sistemele corporative, exploatând vulnerabilitățile și punctele slabe din infrastructura de securitate a organizației. Aceste tehnici de infiltrare pot fi diverse și sofisticate, având ca scop ocolirea apărării și obținerea accesului neautorizat la informații sensibile. Unele metode comune includ:

• Phishing și inginerie socială: actorii amenințărilor pot folosi tactici înșelătoare, cum ar fi e-mailurile de phishing sau apelurile telefonice, pentru a păcăli angajații să dezvăluie informații sensibile, cum ar fi datele de conectare sau detaliile personale. Tehnicile de inginerie socială manipulează indivizii pentru a obține acces neautorizat la sistemele corporative.
• Programe malware și exploatări: Atacatorii pot introduce programe malware de primă etapă în sistemele corporative prin diferite mijloace, inclusiv atașamente de e-mail rău intenționate, site-uri web infectate sau software compromis. Prin exploatarea vulnerabilităților din software sau sisteme, actorii amenințărilor pot obține acces neautorizat și control asupra infrastructurii critice.
• Atacurile lanțului de aprovizionare: actorii amenințărilor pot viza furnizori sau furnizori terți cu măsuri de securitate mai slabe, exploatând vulnerabilitățile din sistemele lor pentru a obține acces la rețeaua corporativă. Odată înăuntru, se pot deplasa lateral și își pot escalada privilegiile.
• Atacurile cu forță brută: Atacatorii pot încerca să obțină acces la sistemele corporative încercând sistematic numeroase combinații de nume de utilizator și parole până descoperă acreditările corecte.
• Atacurile RDP (Remote Desktop Protocol): actorii amenințători vizează porturile RDP expuse pentru a obține acces neautorizat la sistemele corporative. Ei pot exploata parole slabe sau vulnerabilități din software-ul RDP pentru a compromite rețeaua.
• Exploituri zero-day: vulnerabilitățile zero-day se referă la vulnerabilități software necunoscute pe care actorii amenințărilor le descoperă înainte ca dezvoltatorii să le poată corecta. Atacatorii pot exploata aceste vulnerabilități pentru a obține acces neautorizat la sistemele corporative.

Actorii amenințărilor își dezvoltă continuu tehnicile și adoptă noi metode pentru a se infiltra în sistemele corporative. Ca urmare, organizațiile trebuie să implementeze măsuri de securitate cuprinzătoare, inclusiv actualizări regulate de software, instruire a angajaților, segmentare a rețelei, sisteme de detectare a intruziunilor și controale robuste de acces, pentru a se proteja împotriva acestor încercări de infiltrare.