มัลแวร์ PowerDrop
อุตสาหกรรมการบินและอวกาศของสหรัฐฯ ได้กลายเป็นเป้าหมายของผู้กระทำการชั่วร้ายที่ไม่ปรากฏชื่อ โดยใช้มัลแวร์ PowerShell ที่ค้นพบใหม่ซึ่งรู้จักกันในชื่อ PowerDrop รายงานโดยนักวิจัยด้านความปลอดภัยในโลกไซเบอร์เปิดเผยว่า PowerDrop ใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ รวมถึงการหลอกลวง การเข้ารหัส และการเข้ารหัส ในเดือนพฤษภาคม พ.ศ. 2566 มัลแวร์ดังกล่าวถูกค้นพบว่าฝังอยู่ในระบบของผู้รับเหมาป้องกันการบินและอวกาศของสหรัฐที่ไม่เปิดเผย
ฟังก์ชันการคุกคามของ PowerDrop เป็นมากกว่าการเข้าถึงครั้งแรกและอนุญาตให้ภัยคุกคามทำหน้าที่เป็นเครื่องมือหลังการแสวงหาผลประโยชน์ ซึ่งหมายความว่าเมื่อผู้โจมตีเข้าสู่เครือข่ายของเหยื่อด้วยวิธีการอื่น PowerDrop จะถูกปรับใช้เพื่อรวบรวมข้อมูลที่มีค่าจากระบบที่ถูกบุกรุก วัตถุประสงค์หลักคือการดึงข้อมูลที่ละเอียดอ่อนและดำเนินการเฝ้าระวังภายในเครือข่ายของเหยื่อ รายละเอียดเกี่ยวกับภัยคุกคามเผยแพร่โดยผู้เชี่ยวชาญของอินโฟเซกที่ Adlumin
มัลแวร์ PowerDrop ใช้ประโยชน์จากกระบวนการและระบบที่ถูกต้องตามกฎหมาย
มัลแวร์ใช้ Internet Control Message Protocol (ICMP) echo ข้อความร้องขอเป็นช่องทางในการสร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) สิ่งนี้ทำให้มัลแวร์สามารถเริ่มปฏิบัติการที่เป็นอันตรายได้
เมื่อได้รับข้อความคำขอ ICMP echo เซิร์ฟเวอร์ C2 จะตอบกลับด้วยคำสั่งที่เข้ารหัส ซึ่งจากนั้นจะถอดรหัสและดำเนินการบนโฮสต์ที่ถูกบุกรุก ในการกรองผลลัพธ์ของคำสั่งที่ดำเนินการ จะใช้ข้อความ ping ของ ICMP ที่คล้ายกัน
โดยเฉพาะอย่างยิ่ง การดำเนินการตามคำสั่ง PowerShell ได้รับการอำนวยความสะดวกผ่านการใช้บริการ Windows Management Instrumentation (WMI) ตัวเลือกนี้บ่งชี้ว่าฝ่ายตรงข้ามจงใจใช้กลวิธีหากินนอกพื้นที่ โดยมีเป้าหมายเพื่อหลบเลี่ยงการตรวจจับโดยใช้ประโยชน์จากกระบวนการของระบบที่ชอบด้วยกฎหมาย
แม้ว่าโครงสร้างหลักของภัยคุกคามนี้อาจไม่ได้มีการออกแบบที่ซับซ้อนโดยเนื้อแท้ แต่ความสามารถในการบดบังกิจกรรมที่น่าสงสัยและหลบเลี่ยงการตรวจจับโดยการป้องกันความปลอดภัยของเอนด์พอยต์ แสดงให้เห็นการมีส่วนร่วมของผู้คุกคามที่มีความซับซ้อนมากขึ้น
ผู้คุกคามใช้วิธีการหลายวิธีในการละเมิดเครือข่ายส่วนบุคคลและองค์กร
ผู้คุกคามใช้วิธีการและเทคนิคต่างๆ เพื่อแทรกซึมเข้าไปในระบบขององค์กร ใช้ประโยชน์จากช่องโหว่และจุดอ่อนภายในโครงสร้างพื้นฐานด้านความปลอดภัยขององค์กร เทคนิคการแทรกซึมเหล่านี้สามารถมีความหลากหลายและซับซ้อน โดยมีเป้าหมายเพื่อหลีกเลี่ยงการป้องกันและเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต วิธีการทั่วไปบางอย่าง ได้แก่ :
- ฟิชชิงและวิศวกรรมสังคม: ผู้คุกคามอาจใช้กลวิธีหลอกลวง เช่น อีเมลฟิชชิ่งหรือโทรศัพท์ เพื่อหลอกให้พนักงานเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบหรือรายละเอียดส่วนบุคคล เทคนิควิศวกรรมสังคมจัดการบุคคลเพื่อให้เข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาต
- มัลแวร์และการใช้ประโยชน์: ผู้โจมตีสามารถแนะนำมัลแวร์ขั้นแรกเข้าสู่ระบบขององค์กรด้วยวิธีการต่างๆ รวมถึงไฟล์แนบอีเมลที่เป็นอันตราย เว็บไซต์ที่ติดไวรัสหรือซอฟต์แวร์ที่ถูกบุกรุก โดยการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์หรือระบบ ผู้คุกคามสามารถเข้าถึงและควบคุมโครงสร้างพื้นฐานที่สำคัญโดยไม่ได้รับอนุญาต
- การโจมตีห่วงโซ่อุปทาน: ผู้คุกคามสามารถกำหนดเป้าหมายผู้ขายหรือซัพพลายเออร์ที่เป็นบุคคลภายนอกด้วยมาตรการรักษาความปลอดภัยที่อ่อนแอกว่า ใช้ประโยชน์จากช่องโหว่ในระบบของตนเพื่อเข้าถึงเครือข่ายขององค์กร เมื่อเข้าไปข้างในแล้ว พวกเขาสามารถเคลื่อนที่ไปด้านข้างและเพิ่มสิทธิพิเศษได้
- การโจมตีด้วยกำลังดุร้าย: ผู้โจมตีอาจพยายามเข้าถึงระบบขององค์กรโดยการลองใช้ชื่อผู้ใช้และรหัสผ่านจำนวนมากอย่างเป็นระบบจนกว่าจะค้นพบข้อมูลประจำตัวที่ถูกต้อง
- การโจมตี Remote Desktop Protocol (RDP): ผู้คุกคามกำหนดเป้าหมายพอร์ต RDP ที่เปิดเผยเพื่อเข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาต พวกเขาอาจใช้ประโยชน์จากรหัสผ่านที่ไม่รัดกุมหรือช่องโหว่ในซอฟต์แวร์ RDP เพื่อบุกรุกเครือข่าย
- Zero-Day Exploits: ช่องโหว่ Zero-day หมายถึงช่องโหว่ของซอฟต์แวร์ที่ไม่รู้จักซึ่งผู้คุกคามค้นพบก่อนที่นักพัฒนาซอฟต์แวร์จะแก้ไขได้ ผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาต
ผู้คุกคามพัฒนาเทคนิคของตนอย่างต่อเนื่องและนำวิธีการใหม่ๆ มาใช้เพื่อแทรกซึมเข้าไปในระบบขององค์กร เป็นผลให้องค์กรต้องใช้มาตรการรักษาความปลอดภัยที่ครอบคลุม รวมถึงการอัปเดตซอฟต์แวร์เป็นประจำ การฝึกอบรมพนักงาน การแบ่งส่วนเครือข่าย ระบบตรวจจับการบุกรุก และการควบคุมการเข้าถึงที่มีประสิทธิภาพ เพื่อป้องกันการพยายามแทรกซึมเหล่านี้
