Flerlicensrabatter
Threat Database Malware PowerDrop skadlig programvara

PowerDrop skadlig programvara

Med Mezo år Malware
Översätt till:
Svenska

Den amerikanska flygindustrin har blivit målet för en oidentifierad elak aktör som använder en nyupptäckt PowerShell-baserad skadlig programvara känd som PowerDrop. En rapport från cybersäkerhetsforskare avslöjar att PowerDrop använder sofistikerade metoder för att undvika upptäckt, inklusive bedrägeri, kodning och kryptering. I maj 2023 upptäcktes skadlig programvara implanterad i systemen hos en okänd amerikansk flygförsvarsentreprenör.

De hotfulla funktionerna i PowerDrop går utöver initial åtkomst och tillåter hotet att fungera som ett verktyg efter exploatering. Detta innebär att när angriparen väl kommer in i ett offers nätverk genom alternativa metoder, distribueras PowerDrop för att samla in värdefull information från de komprometterade systemen. Dess primära mål är att utvinna känsliga uppgifter och bedriva övervakning inom offrets nätverk. Detaljer om hotet släpptes av infosec-experterna på Adlumin.

PowerDrop Malware drar fördel av legitima processer och system

Skadlig programvara använder Internet Control Message Protocol (ICMP) echo request-meddelanden som ett sätt att upprätta kommunikation med en Command-and-Control-server (C2). Detta gör det möjligt för skadlig programvara att initiera sina skadliga operationer.

När C2-servern tar emot ICMP-ekobegäran svarar den med ett krypterat kommando, som sedan avkodas och exekveras på den komprometterade värden. För att exfiltrera resultaten av den körda instruktionen används ett liknande ICMP-pingmeddelande.

Särskilt underlättas exekveringen av PowerShell-kommandot genom att använda tjänsten Windows Management Instrumentation (WMI). Detta val indikerar motståndarens avsiktliga användning av taktik för att leva utanför landet, som syftar till att undvika upptäckt genom att utnyttja legitima systemprocesser.

Även om kärnstrukturen för detta hot kanske inte har en i sig komplex design, tyder dess förmåga att dölja misstänkta aktiviteter och undvika upptäckt av slutpunktssäkerhetsförsvar att mer sofistikerade hotaktörer involveras.

Hotaktörer använder flera metoder för att bryta mot enskilda och företagsnätverk

Hotaktörer använder olika metoder och tekniker för att infiltrera företagssystem och utnyttja sårbarheter och svagheter inom organisationens säkerhetsinfrastruktur. Dessa infiltrationstekniker kan vara olika och sofistikerade och syftar till att kringgå försvar och få obehörig åtkomst till känslig information. Några vanliga metoder inkluderar:

  • Nätfiske och social teknik: Hotaktörer kan använda vilseledande taktik, såsom nätfiske-e-post eller telefonsamtal, för att lura anställda att avslöja känslig information, såsom inloggningsuppgifter eller personliga uppgifter. Social ingenjörsteknik manipulerar individer för att få obehörig tillgång till företagssystem.
  • Skadlig programvara och utnyttjande: Angripare kan introducera skadlig programvara i första steget i företagssystem på olika sätt, inklusive skadliga e-postbilagor, infekterade webbplatser eller komprometterad programvara. Genom att utnyttja sårbarheter i programvara eller system kan hotaktörer få obehörig åtkomst och kontroll över kritisk infrastruktur.
  • Supply Chain Attacks: Hotaktörer kan rikta in sig på tredjepartsleverantörer eller leverantörer med svagare säkerhetsåtgärder och utnyttja sårbarheter i sina system för att få tillgång till företagets nätverk. Väl inne kan de röra sig i sidled och eskalera sina privilegier.
  • Brute-Force-attacker: Angripare kan försöka få tillgång till företagssystem genom att systematiskt prova flera kombinationer av användarnamn och lösenord tills de upptäcker rätt referenser.
  • Remote Desktop Protocol (RDP)-attacker: Hotaktörer riktar sig mot exponerade RDP-portar för att få obehörig åtkomst till företagssystem. De kan utnyttja svaga lösenord eller sårbarheter i RDP-programvaran för att äventyra nätverket.
  • Zero-Day Exploits: Zero-day sårbarheter hänvisar till okända mjukvarusårbarheter som hotaktörer upptäcker innan utvecklare kan korrigera dem. Angripare kan utnyttja dessa sårbarheter för att få obehörig åtkomst till företagssystem.

Hotaktörer utvecklar ständigt sina tekniker och antar nya metoder för att infiltrera företagssystem. Som ett resultat måste organisationer implementera omfattande säkerhetsåtgärder, inklusive regelbundna programuppdateringar, utbildning av anställda, nätverkssegmentering, intrångsdetekteringssystem och robusta åtkomstkontroller, för att skydda mot dessa infiltrationsförsök.

Trendigt

Mest sedda

Läser in...