Вредоносное ПО PowerDrop

Аэрокосмическая промышленность США стала мишенью неустановленного злоумышленника, использующего недавно обнаруженную вредоносную программу на основе PowerShell, известную как PowerDrop. Отчет исследователей кибербезопасности показывает, что PowerDrop использует сложные методы, чтобы избежать обнаружения, включая обман, кодирование и шифрование. В мае 2023 года вредоносное ПО было обнаружено в системах неизвестного подрядчика аэрокосмической обороны США.

Угрожающие функции PowerDrop выходят за рамки первоначального доступа и позволяют угрозе служить инструментом постэксплуатации. Это означает, что как только злоумышленник получает доступ к сети жертвы с помощью альтернативных методов, PowerDrop развертывается для сбора ценной информации из скомпрометированных систем. Его основной задачей является извлечение конфиденциальных данных и ведение наблюдения в сети жертвы. Подробности об угрозе рассказали специалисты Adlumin по информационной безопасности.

Вредоносная программа PowerDrop использует законные процессы и системы

Вредоносная программа использует эхо-запросы протокола ICMP (Internet Control Message Protocol) в качестве средства для установления связи с сервером управления и контроля (C2). Это позволяет вредоносным программам инициировать свои вредоносные операции.

Получив сообщение эхо-запроса ICMP, сервер C2 отвечает зашифрованной командой, которая затем декодируется и выполняется на скомпрометированном хосте. Для эксфильтрации результатов выполненной инструкции используется аналогичное пинг-сообщение ICMP.

Примечательно, что выполнение команды PowerShell упрощается за счет использования службы инструментария управления Windows (WMI). Этот выбор указывает на преднамеренное использование противником тактики жизни за пределами земли, стремящейся избежать обнаружения путем использования законных системных процессов.

Несмотря на то, что основная структура этой угрозы может не иметь изначально сложной структуры, ее способность скрывать подозрительные действия и избегать обнаружения средствами защиты конечных точек предполагает причастность более изощренных злоумышленников.

Злоумышленники используют несколько методов для взлома индивидуальных и корпоративных сетей

Злоумышленники используют различные методы и приемы для проникновения в корпоративные системы, используя уязвимости и слабые места в инфраструктуре безопасности организации. Эти методы проникновения могут быть разнообразными и сложными, направленными на обход средств защиты и получение несанкционированного доступа к конфиденциальной информации. Некоторые распространенные методы включают в себя:

• Фишинг и социальная инженерия. Злоумышленники могут использовать приемы обмана, такие как фишинговые электронные письма или телефонные звонки, чтобы заставить сотрудников раскрыть конфиденциальную информацию, такую как учетные данные для входа или личные данные. Методы социальной инженерии манипулируют людьми для получения несанкционированного доступа к корпоративным системам.
• Вредоносное ПО и эксплойты. Злоумышленники могут внедрять вредоносное ПО первой стадии в корпоративные системы различными способами, включая вредоносные вложения электронной почты, зараженные веб-сайты или скомпрометированное программное обеспечение. Используя уязвимости в программном обеспечении или системах, злоумышленники могут получить несанкционированный доступ и контроль над критически важной инфраструктурой.
• Атаки на цепочку поставок. Злоумышленники могут нацеливаться на сторонних поставщиков или поставщиков с более слабыми мерами безопасности, используя уязвимости в их системах для получения доступа к корпоративной сети. Оказавшись внутри, они могут двигаться вбок и повышать свои привилегии.
• Атаки грубой силы: Злоумышленники могут попытаться получить доступ к корпоративным системам, систематически перебирая многочисленные комбинации имен пользователей и паролей, пока не обнаружат правильные учетные данные.
• Атаки на протокол удаленного рабочего стола (RDP). Злоумышленники нацелены на открытые порты RDP, чтобы получить несанкционированный доступ к корпоративным системам. Они могут использовать слабые пароли или уязвимости в программном обеспечении RDP для взлома сети.
• Эксплойты нулевого дня. Уязвимости нулевого дня относятся к неизвестным уязвимостям программного обеспечения, которые злоумышленники обнаруживают до того, как разработчики смогут их исправить. Злоумышленники могут использовать эти уязвимости для получения несанкционированного доступа к корпоративным системам.

Злоумышленники постоянно совершенствуют свои методы и внедряют новые методы проникновения в корпоративные системы. В результате организации должны внедрять комплексные меры безопасности, включая регулярные обновления программного обеспечения, обучение сотрудников, сегментацию сети, системы обнаружения вторжений и надежные средства контроля доступа, чтобы защититься от этих попыток проникновения.