Škodlivý softvér PowerDrop

Americký letecký priemysel sa stal cieľom neidentifikovaného zlého herca, ktorý používa novoobjavený malvér založený na PowerShell známy ako PowerDrop. Správa výskumníkov v oblasti kybernetickej bezpečnosti odhaľuje, že PowerDrop využíva sofistikované metódy na zabránenie detekcii, vrátane klamania, kódovania a šifrovania. V máji 2023 bol objavený malvér implantovaný do systémov nezverejneného amerického dodávateľa leteckej obrany.

Ohrozujúce funkcie PowerDrop presahujú počiatočný prístup a umožňujú hrozbe slúžiť ako nástroj po exploatácii. To znamená, že akonáhle sa útočník dostane do siete obete prostredníctvom alternatívnych metód, PowerDrop sa nasadí na zhromažďovanie cenných informácií z napadnutých systémov. Jeho primárnym cieľom je získavať citlivé údaje a vykonávať dohľad v rámci siete obete. Podrobnosti o hrozbe zverejnili experti infosec z Adlumin.

Malvér PowerDrop využíva legitímne procesy a systémy

Malvér využíva správy s požiadavkami na odozvu protokolu ICMP (Internet Control Message Protocol) ako prostriedok na nadviazanie komunikácie so serverom Command-and-Control (C2). To umožňuje malvéru spustiť svoje škodlivé operácie.

Po prijatí správy ICMP echo request odpovie server C2 zašifrovaným príkazom, ktorý sa potom dekóduje a vykoná na napadnutom hostiteľovi. Na odstránenie výsledkov vykonanej inštrukcie sa používa podobná správa ICMP ping.

Najmä vykonávanie príkazu PowerShell je uľahčené využitím služby Windows Management Instrumentation (WMI). Táto voľba naznačuje, že protivník úmyselne používa taktiku žijúcu mimo územia, ktorej cieľom je vyhnúť sa odhaleniu využitím legitímnych systémových procesov.

Hoci základná štruktúra tejto hrozby nemusí mať vo svojej podstate komplexný dizajn, jej schopnosť zakryť podozrivé aktivity a vyhnúť sa detekcii pomocou ochrany koncových bodov naznačuje zapojenie sofistikovanejších aktérov hrozieb.

Aktéri hrozieb používajú viacero metód na narúšanie individuálnych a firemných sietí

Aktéri hrozieb využívajú rôzne metódy a techniky na infiltráciu podnikových systémov, pričom využívajú zraniteľné miesta a slabé miesta v rámci bezpečnostnej infraštruktúry organizácie. Tieto techniky infiltrácie môžu byť rôznorodé a sofistikované, ktorých cieľom je obísť obranu a získať neoprávnený prístup k citlivým informáciám. Niektoré bežné metódy zahŕňajú:

• Phishing a sociálne inžinierstvo: Aktéri hrozieb môžu používať klamlivé taktiky, ako sú phishingové e-maily alebo telefonáty, aby oklamali zamestnancov, aby prezradili citlivé informácie, ako sú prihlasovacie údaje alebo osobné údaje. Techniky sociálneho inžinierstva manipulujú s jednotlivcami, aby získali neoprávnený prístup k podnikovým systémom.
• Malvér a zneužívanie: Útočníci môžu zaviesť malvér prvej fázy do podnikových systémov rôznymi spôsobmi, vrátane škodlivých príloh e-mailov, infikovaných webových stránok alebo napadnutého softvéru. Využitím zraniteľností v softvéri alebo systémoch môžu aktéri hrozieb získať neoprávnený prístup a kontrolu nad kritickou infraštruktúrou.
• Útoky dodávateľského reťazca: Aktéri hrozieb sa môžu zamerať na predajcov alebo dodávateľov tretích strán so slabšími bezpečnostnými opatreniami, pričom využívajú zraniteľnosti svojich systémov na získanie prístupu do podnikovej siete. Keď sú vo vnútri, môžu sa pohybovať bočne a eskalovať svoje privilégiá.
• Útoky hrubou silou: Útočníci sa môžu pokúsiť získať prístup k podnikovým systémom systematickým skúšaním mnohých kombinácií používateľských mien a hesiel, kým neobjavia správne poverenia.
• Útoky protokolu RDP (Remote Desktop Protocol): Aktéri hrozieb sa zameriavajú na odhalené porty RDP, aby získali neoprávnený prístup k podnikovým systémom. Môžu zneužiť slabé heslá alebo zraniteľné miesta v softvéri RDP na kompromitáciu siete.
• Zero-Day Exploits: Zero-day zraniteľnosti označujú neznáme softvérové zraniteľnosti, ktoré aktéri hrozieb objavia skôr, ako ich vývojári môžu opraviť. Útočníci môžu tieto zraniteľnosti zneužiť na získanie neoprávneného prístupu k podnikovým systémom.

Aktéri hrozieb neustále vyvíjajú svoje techniky a prijímajú nové metódy na infiltráciu podnikových systémov. V dôsledku toho musia organizácie implementovať komplexné bezpečnostné opatrenia, vrátane pravidelných aktualizácií softvéru, školení zamestnancov, segmentácie siete, systémov detekcie narušenia a robustnej kontroly prístupu, aby sa ochránili pred týmito pokusmi o infiltráciu.