Знижки на кілька ліцензій
Threat Database Malware Шкідливе програмне забезпечення PowerDrop

Шкідливе програмне забезпечення PowerDrop

До Mezo року в Malware році
Перекласти на:
Українська

Аерокосмічна промисловість США стала мішенню невідомого зловмисника, який використовує нещодавно виявлену шкідливу програму PowerDrop на основі PowerShell. Звіт дослідників кібербезпеки показує, що PowerDrop використовує складні методи, щоб уникнути виявлення, включаючи обман, кодування та шифрування. У травні 2023 року було виявлено, що зловмисне програмне забезпечення імплантовано в системи невідомого підрядника з аерокосмічної оборони США.

Загрозливі функції PowerDrop виходять за рамки початкового доступу та дозволяють загрозі служити інструментом після експлуатації. Це означає, що як тільки зловмисник отримує доступ до мережі жертви альтернативними методами, PowerDrop розгортається для збору цінної інформації зі зламаних систем. Його основна мета — отримати конфіденційні дані та стежити за мережею жертви. Подробиці про загрозу оприлюднили експерти з інфосекцій Adlumin.

Зловмисне програмне забезпечення PowerDrop використовує переваги законних процесів і систем

Зловмисне програмне забезпечення використовує повідомлення ехо-запиту протоколу керування повідомленнями Інтернету (ICMP) як засіб для встановлення зв’язку з сервером командування та керування (C2). Це дозволяє зловмисному програмному забезпеченню ініціювати свої зловмисні операції.

Отримавши повідомлення ехо-запиту ICMP, сервер C2 відповідає зашифрованою командою, яка потім декодується та виконується на скомпрометованому хості. Для вилучення результатів виконаної інструкції використовується аналогічне повідомлення ping ICMP.

Примітно, що виконання команди PowerShell полегшується за допомогою служби Windows Management Instrumentation (WMI). Цей вибір вказує на навмисне використання супротивником тактики живих поза межами землі, щоб уникнути виявлення шляхом використання законних системних процесів.

Хоча основна структура цієї загрози може не мати за своєю суттю складної конструкції, її здатність приховувати підозрілі дії та уникати виявлення засобами захисту кінцевої точки свідчить про залучення більш складних суб’єктів загрози.

Зловмисники використовують різні методи для зламу в індивідуальних і корпоративних мережах

Зловмисники використовують різні методи та техніки для проникнення в корпоративні системи, використовуючи вразливі місця та слабкі місця в інфраструктурі безпеки організації. Ці методи проникнення можуть бути різноманітними та складними, спрямованими на обхід засобів захисту та отримання несанкціонованого доступу до конфіденційної інформації. Серед поширених методів:

  • Фішинг і соціальна інженерія. Зловмисники можуть використовувати оманливу тактику, як-от фішингові електронні листи або телефонні дзвінки, щоб оманою змусити співробітників розкрити конфіденційну інформацію, наприклад облікові дані для входу або особисті дані. Методи соціальної інженерії маніпулюють людьми, щоб отримати несанкціонований доступ до корпоративних систем.
  • Зловмисне програмне забезпечення та експлойти: зловмисники можуть впроваджувати зловмисне програмне забезпечення першої стадії в корпоративні системи різними способами, включаючи шкідливі вкладення електронної пошти, заражені веб-сайти або скомпрометоване програмне забезпечення. Використовуючи вразливі місця в програмному забезпеченні або системах, суб’єкти загрози можуть отримати несанкціонований доступ і контроль над критичною інфраструктурою.
  • Атаки на ланцюг поставок: суб’єкти загрози можуть націлитися на сторонніх постачальників або постачальників із слабкішими заходами безпеки, використовуючи вразливості в їхніх системах для отримання доступу до корпоративної мережі. Опинившись усередині, вони можуть рухатися вбік і збільшувати свої привілеї.
  • Атаки грубою силою: зловмисники можуть спробувати отримати доступ до корпоративних систем, систематично пробуючи численні комбінації імен користувачів і паролів, доки не виявлять правильні облікові дані.
  • Атаки на протокол віддаленого робочого столу (RDP): зловмисники націлюються на відкриті порти RDP, щоб отримати несанкціонований доступ до корпоративних систем. Вони можуть використовувати слабкі паролі або вразливості в програмному забезпеченні RDP, щоб зламати мережу.
  • Експлойти нульового дня: уразливості нульового дня стосуються невідомих уразливостей програмного забезпечення, які виявляють загрозливі особи до того, як розробники зможуть їх виправити. Зловмисники можуть використовувати ці вразливості для отримання несанкціонованого доступу до корпоративних систем.

Зловмисники постійно вдосконалюють свої методи та застосовують нові методи проникнення в корпоративні системи. У результаті організації повинні впроваджувати комплексні заходи безпеки, включаючи регулярні оновлення програмного забезпечення, навчання співробітників, сегментацію мережі, системи виявлення вторгнень і надійні засоби контролю доступу, щоб захистити від цих спроб проникнення.

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
15,882
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
Завантаження...