PowerDrop Kötü Amaçlı Yazılımı

ABD havacılık endüstrisi, PowerDrop olarak bilinen yeni keşfedilen PowerShell tabanlı bir kötü amaçlı yazılım kullanan kimliği belirsiz kötü niyetli bir aktörün hedefi haline geldi. Siber güvenlik araştırmacıları tarafından hazırlanan bir rapor, PowerDrop'un algılamayı önlemek için aldatma, kodlama ve şifreleme dahil olmak üzere gelişmiş yöntemler kullandığını ortaya koyuyor. Mayıs 2023'te, kimliği açıklanmayan bir ABD havacılık savunma yüklenicisinin sistemlerine yerleştirilen kötü amaçlı yazılım keşfedildi.

PowerDrop'un tehdit edici işlevleri, ilk erişimin ötesine geçer ve tehdidin istismar sonrası bir araç olarak hizmet etmesine olanak tanır. Bu, saldırgan alternatif yöntemlerle bir kurbanın ağına giriş elde ettiğinde, güvenliği ihlal edilmiş sistemlerden değerli bilgiler toplamak için PowerDrop'un konuşlandırıldığı anlamına gelir. Birincil amacı, hassas verileri çıkarmak ve kurbanın ağı içinde gözetim yapmaktır. Tehditle ilgili ayrıntılar, Adlumin'deki bilgi güvenliği uzmanları tarafından yayınlandı.

PowerDrop Kötü Amaçlı Yazılımı, Yasal Süreçlerden ve Sistemlerden Yararlanıyor

Kötü amaçlı yazılım, bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurmak için İnternet Kontrol Mesajı Protokolü (ICMP) yankı isteği mesajlarını kullanır. Bu, kötü amaçlı yazılımın kötü niyetli işlemlerini başlatmasını sağlar.

ICMP yankı istek mesajını aldıktan sonra, C2 sunucusu şifreli bir komutla yanıt verir ve bu komut daha sonra güvenliği ihlal edilmiş ana bilgisayarda çözülür ve yürütülür. Yürütülen talimatın sonuçlarını dışarı sızdırmak için benzer bir ICMP ping mesajı kullanılır.

Özellikle, PowerShell komutunun yürütülmesi, Windows Yönetim Araçları (WMI) hizmetinin kullanılmasıyla kolaylaştırılmıştır. Bu seçim, rakibin meşru sistem süreçlerinden yararlanarak tespit edilmekten kaçınmayı amaçlayan karada yaşama taktiklerini kasıtlı olarak kullandığını gösterir.

Bu tehdidin çekirdek yapısı, doğası gereği karmaşık bir tasarıma sahip olmasa da, şüpheli etkinlikleri gizleme ve uç nokta güvenlik savunmaları tarafından tespit edilmekten kaçınma yeteneği, daha karmaşık tehdit aktörlerinin işin içinde olduğunu düşündürür.

Tehdit Aktörleri Bireysel ve Kurumsal Ağları İhlal Etmek İçin Birden Fazla Yöntem Kullanıyor

Tehdit aktörleri, kurumsal sistemlere sızmak için çeşitli yöntem ve teknikler kullanır, kuruluşun güvenlik altyapısındaki güvenlik açıklarından ve zayıflıklardan yararlanır. Bu sızma teknikleri, savunmaları atlamayı ve hassas bilgilere yetkisiz erişim elde etmeyi amaçlayan çeşitli ve karmaşık olabilir. Bazı yaygın yöntemler şunları içerir:

• Kimlik Avı ve Sosyal Mühendislik: Tehdit aktörleri, kimlik avı e-postaları veya telefon görüşmeleri gibi aldatıcı taktikler kullanarak çalışanları kandırarak oturum açma kimlik bilgileri veya kişisel ayrıntılar gibi hassas bilgileri ifşa edebilir. Sosyal mühendislik teknikleri, kurumsal sistemlere yetkisiz erişim elde etmek için bireyleri manipüle eder.
• Kötü Amaçlı Yazılımlar ve Açıklardan Yararlanmalar: Saldırganlar, kötü amaçlı e-posta ekleri, virüslü web siteleri veya güvenliği ihlal edilmiş yazılımlar dahil olmak üzere çeşitli yollarla kurumsal sistemlere birinci aşama kötü amaçlı yazılımlar sokabilir. Tehdit aktörleri, yazılım veya sistemlerdeki güvenlik açıklarından yararlanarak kritik altyapı üzerinde yetkisiz erişim ve kontrol elde edebilir.
• Tedarik Zinciri Saldırıları: Tehdit aktörleri, kurumsal ağa erişim elde etmek için sistemlerindeki güvenlik açıklarından yararlanarak daha zayıf güvenlik önlemleriyle üçüncü taraf satıcıları veya tedarikçileri hedefleyebilir. İçeri girdikten sonra yanal hareket edebilir ve ayrıcalıklarını yükseltebilirler.
• Kaba Kuvvet Saldırıları: Saldırganlar, doğru kimlik bilgilerini bulana kadar çok sayıda kullanıcı adı ve parola kombinasyonunu sistematik olarak deneyerek kurumsal sistemlere erişmeye çalışabilir.
• Uzak Masaüstü Protokolü (RDP) Saldırıları: Tehdit aktörleri, kurumsal sistemlere yetkisiz erişim elde etmek için açığa çıkan RDP bağlantı noktalarını hedefler. Ağın güvenliğini aşmak için RDP yazılımındaki zayıf parolalardan veya güvenlik açıklarından yararlanabilirler.
• Sıfırıncı Gün Güvenlik Açıkları: Sıfırıncı gün güvenlik açıkları, tehdit aktörlerinin geliştiricilerin düzeltme eki uygulamadan önce keşfettiği bilinmeyen yazılım güvenlik açıklarını ifade eder. Saldırganlar, kurumsal sistemlere yetkisiz erişim elde etmek için bu güvenlik açıklarından yararlanabilir.

Tehdit aktörleri tekniklerini sürekli olarak geliştirir ve kurumsal sistemlere sızmak için yeni yöntemler benimser. Sonuç olarak kuruluşlar, bu sızma girişimlerine karşı korunmak için düzenli yazılım güncellemeleri, çalışan eğitimi, ağ segmentasyonu, izinsiz giriş tespit sistemleri ve sağlam erişim kontrolleri dahil olmak üzere kapsamlı güvenlik önlemleri uygulamalıdır.