PowerDrop Malware

Industria amerikane e hapësirës ajrore është bërë shënjestër e një aktori të paidentifikuar me mendje djallëzore duke përdorur një malware të sapo zbuluar me bazë PowerShell të njohur si PowerDrop. Një raport nga studiues të sigurisë kibernetike zbulon se PowerDrop përdor metoda të sofistikuara për të shmangur zbulimin, duke përfshirë mashtrimin, kodimin dhe enkriptimin. Në maj 2023, malware u zbulua i implantuar brenda sistemeve të një kontraktori të pazbuluar të mbrojtjes së hapësirës ajrore amerikane.

Funksionet kërcënuese të PowerDrop shkojnë përtej aksesit fillestar dhe lejojnë që kërcënimi të shërbejë si një mjet pas shfrytëzimit. Kjo do të thotë që sapo sulmuesi të hyjë në rrjetin e viktimës përmes metodave alternative, PowerDrop vendoset për të mbledhur informacione të vlefshme nga sistemet e komprometuara. Objektivi i tij kryesor është nxjerrja e të dhënave të ndjeshme dhe kryerja e mbikëqyrjes brenda rrjetit të viktimës. Detajet për kërcënimin janë dhënë nga ekspertët e infosec në Adlumin.

Malware PowerDrop përfiton nga proceset dhe sistemet legjitime

Malware përdor mesazhet e kërkesës për jehonë të Protokollit të Kontrollit të Mesazhit të Internetit (ICMP) si një mjet për të vendosur komunikim me një server Command-and-Control (C2). Kjo i mundëson malware-it të fillojë operacionet e tij me qëllim të keq.

Me marrjen e mesazhit të kërkesës për echo ICMP, serveri C2 përgjigjet me një komandë të koduar, e cila më pas deshifrohet dhe ekzekutohet në hostin e komprometuar. Për të shfrytëzuar rezultatet e instruksionit të ekzekutuar, përdoret një mesazh i ngjashëm ping ICMP.

Veçanërisht, ekzekutimi i komandës PowerShell lehtësohet përmes përdorimit të shërbimit të Windows Management Instrumentation (WMI). Kjo zgjedhje tregon përdorimin e qëllimshëm nga ana e kundërshtarit të taktikave të jetesës jashtë tokës, duke synuar shmangien e zbulimit duke shfrytëzuar proceset legjitime të sistemit.

Megjithëse struktura thelbësore e këtij kërcënimi mund të mos ketë një dizajn në thelb kompleks, aftësia e tij për të errësuar aktivitetet e dyshimta dhe për të shmangur zbulimin nga mbrojtja e sigurisë në pikën përfundimtare sugjeron përfshirjen e aktorëve më të sofistikuar të kërcënimit.

Aktorët e kërcënimit përdorin metoda të shumta për të thyer rrjetet individuale dhe korporative

Aktorët e kërcënimit përdorin metoda dhe teknika të ndryshme për të depërtuar në sistemet e korporatave, duke shfrytëzuar dobësitë dhe dobësitë brenda infrastrukturës së sigurisë së organizatës. Këto teknika të infiltrimit mund të jenë të ndryshme dhe të sofistikuara, duke synuar të anashkalojnë mbrojtjen dhe të fitojnë akses të paautorizuar në informacione të ndjeshme. Disa metoda të zakonshme përfshijnë:

• Phishing dhe Inxhinieria Sociale: Aktorët e kërcënimit mund të përdorin taktika mashtruese, të tilla si phishing email ose telefonata, për të mashtruar punonjësit që të zbulojnë informacione të ndjeshme, të tilla si kredencialet e hyrjes ose detajet personale. Teknikat e inxhinierisë sociale manipulojnë individët për të fituar akses të paautorizuar në sistemet e korporatave.
• Malware dhe shfrytëzimet: Sulmuesit mund të prezantojnë malware të fazës së parë në sistemet e korporatave përmes mjeteve të ndryshme, duke përfshirë bashkëngjitjet e postës elektronike me qëllim të keq, faqet e internetit të infektuara ose softuerin e komprometuar. Duke shfrytëzuar dobësitë në softuer ose sisteme, aktorët e kërcënimit mund të fitojnë akses dhe kontroll të paautorizuar mbi infrastrukturën kritike.
• Sulmet e zinxhirit të furnizimit: Aktorët e kërcënimit mund të synojnë shitësit ose furnizuesit e palëve të treta me masa më të dobëta sigurie, duke shfrytëzuar dobësitë në sistemet e tyre për të marrë akses në rrjetin e korporatës. Pasi brenda, ata mund të lëvizin anash dhe të përshkallëzojnë privilegjet e tyre.
• Sulmet Brute-Force: Sulmuesit mund të përpiqen të kenë akses në sistemet e korporatës duke provuar sistematikisht kombinime të shumta të emrave të përdoruesve dhe fjalëkalimeve derisa të zbulojnë kredencialet e sakta.
• Sulmet e Protokollit të Desktopit në distancë (RDP): Aktorët e kërcënimit synojnë portat e ekspozuara të RDP për të fituar akses të paautorizuar në sistemet e korporatës. Ata mund të shfrytëzojnë fjalëkalime të dobëta ose dobësi në softuerin RDP për të komprometuar rrjetin.
• Shfrytëzimi i Ditës Zero: Dobësitë e ditës zero i referohen dobësive të panjohura të softuerit që aktorët e kërcënimit zbulojnë përpara se zhvilluesit të mund t'i rregullojnë ato. Sulmuesit mund t'i shfrytëzojnë këto dobësi për të marrë akses të paautorizuar në sistemet e korporatës.

Aktorët e kërcënimit evoluojnë vazhdimisht teknikat e tyre dhe adoptojnë metoda të reja për të depërtuar në sistemet e korporatave. Si rezultat, organizatat duhet të zbatojnë masa gjithëpërfshirëse sigurie, duke përfshirë përditësimet e rregullta të softuerit, trajnimin e punonjësve, segmentimin e rrjetit, sistemet e zbulimit të ndërhyrjeve dhe kontrollet e fuqishme të aksesit, për t'u mbrojtur kundër këtyre përpjekjeve të infiltrimit.