Mga Multi-Lisensya na Diskwento
Threat Database Malware PowerDrop Malware

PowerDrop Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:
Wikang Filipino

Ang industriya ng aerospace ng US ay naging target ng isang hindi kilalang aktor na may masamang pag-iisip na gumagamit ng bagong natuklasang malware na nakabase sa PowerShell na kilala bilang PowerDrop. Ang isang ulat ng mga mananaliksik sa cybersecurity ay nagpapakita na ang PowerDrop ay gumagamit ng mga sopistikadong pamamaraan upang maiwasan ang pagtuklas, kabilang ang panlilinlang, pag-encode at pag-encrypt. Noong Mayo 2023, natuklasan ang malware na itinanim sa loob ng mga sistema ng isang hindi kilalang kontratista ng pagtatanggol sa aerospace ng US.

Ang mga nagbabantang function ng PowerDrop ay higit pa sa paunang pag-access at pinapayagan ang pagbabanta na magsilbi bilang isang tool pagkatapos ng pagsasamantala. Nangangahulugan ito na kapag nakapasok na ang attacker sa network ng isang biktima sa pamamagitan ng mga alternatibong pamamaraan, idine-deploy ang PowerDrop upang mangalap ng mahalagang impormasyon mula sa mga nakompromisong system. Ang pangunahing layunin nito ay kunin ang sensitibong data at magsagawa ng pagsubaybay sa loob ng network ng biktima. Ang mga detalye tungkol sa banta ay inilabas ng mga eksperto sa infosec sa Adlumin.

Nakikinabang ang PowerDrop Malware sa Mga Lehitimong Proseso at Sistema

Ang malware ay gumagamit ng Internet Control Message Protocol (ICMP) echo request messages bilang isang paraan upang magtatag ng komunikasyon sa isang Command-and-Control (C2) server. Nagbibigay-daan ito sa malware na simulan ang mga nakakahamak na operasyon nito.

Sa pagtanggap ng ICMP echo request message, tumugon ang C2 server gamit ang isang naka-encrypt na command, na pagkatapos ay i-decode at ipapatupad sa nakompromisong host. Upang i-exfiltrate ang mga resulta ng naisagawang pagtuturo, ginagamit ang isang katulad na mensahe ng ping ICMP.

Kapansin-pansin, ang pagpapatupad ng utos ng PowerShell ay pinadali sa pamamagitan ng paggamit ng serbisyo ng Windows Management Instrumentation (WMI). Ang pagpipiliang ito ay nagpapahiwatig ng sinasadyang paggamit ng kalaban ng mga taktika sa pamumuhay sa labas ng lupa, na naglalayong iwasan ang pagtuklas sa pamamagitan ng paggamit ng mga lehitimong proseso ng system.

Bagama't ang pangunahing istraktura ng banta na ito ay maaaring walang likas na kumplikadong disenyo, ang kakayahan nitong pagtakpan ang mga kahina-hinalang aktibidad at pag-iwas sa pagtuklas ng mga panlaban sa seguridad ng endpoint ay nagmumungkahi ng paglahok ng mas sopistikadong mga aktor ng pagbabanta.

Gumagamit ang Mga Aktor ng Banta ng Maramihang Paraan para Labagin ang mga Network ng Indibidwal at Pangkumpanya

Gumagamit ang mga aktor ng pagbabanta ng iba't ibang pamamaraan at pamamaraan upang makalusot sa mga sistema ng korporasyon, sinasamantala ang mga kahinaan at kahinaan sa loob ng imprastraktura ng seguridad ng organisasyon. Ang mga diskarte sa pagpasok na ito ay maaaring magkakaiba at sopistikado, na naglalayong i-bypass ang mga depensa at makakuha ng hindi awtorisadong pag-access sa sensitibong impormasyon. Ang ilang mga karaniwang pamamaraan ay kinabibilangan ng:

  • Phishing at Social Engineering: Maaaring gumamit ang mga aktor ng pagbabanta ng mga mapanlinlang na taktika, gaya ng mga email sa phishing o mga tawag sa telepono, upang linlangin ang mga empleyado sa pagsisiwalat ng sensitibong impormasyon, gaya ng mga kredensyal sa pag-log in o mga personal na detalye. Ang mga diskarte sa social engineering ay nagmamanipula ng mga indibidwal upang makakuha ng hindi awtorisadong pag-access sa mga corporate system.
  • Malware at Exploits: Maaaring ipasok ng mga attacker ang unang yugto ng malware sa mga corporate system sa pamamagitan ng iba't ibang paraan, kabilang ang mga nakakahamak na email attachment, mga nahawaang website o nakompromisong software. Sa pamamagitan ng pagsasamantala sa mga kahinaan sa software o mga system, ang mga aktor ng pagbabanta ay maaaring makakuha ng hindi awtorisadong pag-access at kontrol sa mga kritikal na imprastraktura.
  • Mga Pag-atake sa Supply Chain: Maaaring i-target ng mga banta ng aktor ang mga third-party na vendor o supplier na may mas mahinang mga hakbang sa seguridad, sinasamantala ang mga kahinaan sa kanilang mga system upang makakuha ng access sa corporate network. Sa sandaling nasa loob, maaari silang lumipat sa gilid at palakihin ang kanilang mga pribilehiyo.
  • Brute-Force Attacks: Maaaring subukan ng mga attacker na makakuha ng access sa mga corporate system sa pamamagitan ng sistematikong pagsubok sa maraming kumbinasyon ng mga username at password hanggang sa matuklasan nila ang mga tamang kredensyal.
  • Mga Pag-atake ng Remote Desktop Protocol (RDP): Ang mga banta ng aktor ay nagta-target ng mga nakalantad na RDP port upang makakuha ng hindi awtorisadong pag-access sa mga corporate system. Maaari nilang pagsamantalahan ang mahihinang password o mga kahinaan sa RDP software upang ikompromiso ang network.
  • Zero-Day Exploits: Ang mga zero-day vulnerabilities ay tumutukoy sa hindi kilalang mga kahinaan sa software na natutuklasan ng mga banta ng aktor bago sila ma-patch ng mga developer. Maaaring samantalahin ng mga umaatake ang mga kahinaang ito upang makakuha ng hindi awtorisadong pag-access sa mga corporate system.

Ang mga aktor ng pagbabanta ay patuloy na nagbabago ng kanilang mga diskarte at gumagamit ng mga bagong pamamaraan upang makalusot sa mga sistema ng korporasyon. Bilang resulta, ang mga organisasyon ay dapat magpatupad ng mga komprehensibong hakbang sa seguridad, kabilang ang mga regular na pag-update ng software, pagsasanay ng empleyado, pagse-segment ng network, mga intrusion detection system, at matatag na mga kontrol sa pag-access, upang maprotektahan laban sa mga pagtatangkang ito sa paglusot.

Mga Kaugnay na Mga Post

Trending

Pinaka Nanood

Naglo-load...