Zlonamerna programska oprema PowerDrop

Ameriška vesoljska industrija je postala tarča neznanega zlobnega akterja, ki uporablja na novo odkrito zlonamerno programsko opremo PowerDrop, ki temelji na PowerShell. Poročilo raziskovalcev kibernetske varnosti razkriva, da PowerDrop uporablja sofisticirane metode za preprečevanje odkrivanja, vključno s prevaro, kodiranjem in šifriranjem. Maja 2023 so odkrili, da je zlonamerna programska oprema vstavljena v sisteme nerazkritega ameriškega izvajalca letalsko-vesoljske obrambe.

Nevarne funkcije PowerDropa presegajo začetni dostop in omogočajo, da grožnja služi kot orodje po izkoriščanju. To pomeni, da ko napadalec z alternativnimi metodami vstopi v omrežje žrtve, se PowerDrop namesti za zbiranje dragocenih informacij iz ogroženih sistemov. Njegov glavni cilj je pridobiti občutljive podatke in izvajati nadzor v omrežju žrtve. Podrobnosti o grožnji so objavili strokovnjaki za infosec pri Adluminu.

Zlonamerna programska oprema PowerDrop izkorišča zakonite procese in sisteme

Zlonamerna programska oprema uporablja sporočila odmevnih zahtev protokola ICMP (Internet Control Message Protocol) kot sredstvo za vzpostavitev komunikacije s strežnikom Command-and-Control (C2). To zlonamerni programski opremi omogoča, da sproži svoje zlonamerne operacije.

Po prejemu sporočila z zahtevo za odmev ICMP se strežnik C2 odzove s šifriranim ukazom, ki se nato dekodira in izvede na ogroženem gostitelju. Za izločanje rezultatov izvedenega ukaza se uporabi podobno ping sporočilo ICMP.

Predvsem je izvajanje ukaza PowerShell olajšano z uporabo storitve Windows Management Instrumentation (WMI). Ta izbira kaže na nasprotnikovo namerno uporabo taktike življenja zunaj zemlje, s katero se želi izogniti odkrivanju z uporabo zakonitih sistemskih procesov.

Čeprav osnovna struktura te grožnje morda nima same po sebi zapletene zasnove, njena zmožnost, da prikrije sumljive dejavnosti in se izogne odkrivanju varnostnih obrambnih sistemov končne točke, kaže na vpletenost bolj izpopolnjenih akterjev groženj.

Akterji groženj uporabljajo več metod za vdiranje v omrežja posameznikov in podjetij

Akterji groženj uporabljajo različne metode in tehnike za infiltracijo v korporativne sisteme, pri čemer izkoriščajo ranljivosti in slabosti znotraj varnostne infrastrukture organizacije. Te tehnike infiltracije so lahko raznolike in sofisticirane, katerih namen je zaobiti obrambo in pridobiti nepooblaščen dostop do občutljivih informacij. Nekatere običajne metode vključujejo:

• Lažno predstavljanje in socialni inženiring: akterji groženj lahko uporabljajo zavajajoče taktike, kot so lažna e-pošta ali telefonski klici, da zavedejo zaposlene v razkritje občutljivih informacij, kot so poverilnice za prijavo ali osebni podatki. Tehnike socialnega inženiringa manipulirajo s posamezniki, da pridobijo nepooblaščen dostop do korporativnih sistemov.
• Zlonamerna programska oprema in izkoriščanja: Napadalci lahko zlonamerno programsko opremo prve stopnje vnesejo v sisteme podjetja na različne načine, vključno z zlonamernimi e-poštnimi prilogami, okuženimi spletnimi mesti ali ogroženo programsko opremo. Z izkoriščanjem ranljivosti v programski opremi ali sistemih lahko akterji groženj pridobijo nepooblaščen dostop in nadzor nad kritično infrastrukturo.
• Napadi na dobavno verigo: akterji groženj lahko ciljajo na prodajalce tretjih oseb ali dobavitelje s šibkejšimi varnostnimi ukrepi in izkoriščajo ranljivosti v svojih sistemih za dostop do omrežja podjetja. Ko so notri, se lahko premikajo stransko in stopnjujejo svoje privilegije.
• Napadi na silo: Napadalci lahko poskušajo pridobiti dostop do sistemov podjetja s sistematičnim preizkušanjem številnih kombinacij uporabniških imen in gesel, dokler ne odkrijejo pravilnih poverilnic.
• Napadi protokola oddaljenega namizja (RDP): akterji groženj ciljajo na izpostavljena vrata RDP, da pridobijo nepooblaščen dostop do sistemov podjetja. Lahko izkoristijo šibka gesla ali ranljivosti v programski opremi RDP, da ogrozijo omrežje.
• Zero-Day Exploits: Zero-day ranljivosti se nanašajo na neznane ranljivosti programske opreme, ki jih akterji groženj odkrijejo, preden jih lahko razvijalci popravijo. Napadalci lahko te ranljivosti izkoristijo za pridobitev nepooblaščenega dostopa do sistemov podjetja.

Akterji groženj nenehno razvijajo svoje tehnike in sprejemajo nove metode za infiltracijo v korporativne sisteme. Posledično morajo organizacije izvajati celovite varnostne ukrepe, vključno z rednimi posodobitvami programske opreme, usposabljanjem zaposlenih, segmentacijo omrežja, sistemi za zaznavanje vdorov in robustnim nadzorom dostopa, da se zaščitijo pred temi poskusi infiltracije.