Phần mềm độc hại PowerDrop

Ngành công nghiệp hàng không vũ trụ của Hoa Kỳ đã trở thành mục tiêu của một kẻ ác không xác định sử dụng phần mềm độc hại dựa trên PowerShell mới được phát hiện có tên là PowerDrop. Một báo cáo của các nhà nghiên cứu an ninh mạng tiết lộ rằng PowerDrop sử dụng các phương pháp tinh vi để tránh bị phát hiện, bao gồm đánh lừa, mã hóa và mã hóa. Vào tháng 5 năm 2023, phần mềm độc hại này được phát hiện được cấy vào hệ thống của một nhà thầu quốc phòng hàng không vũ trụ không được tiết lộ của Hoa Kỳ.

Các chức năng đe dọa của PowerDrop vượt ra ngoài quyền truy cập ban đầu và cho phép mối đe dọa hoạt động như một công cụ sau khai thác. Điều này có nghĩa là một khi kẻ tấn công giành được quyền truy cập vào mạng của nạn nhân thông qua các phương pháp thay thế, PowerDrop sẽ được triển khai để thu thập thông tin có giá trị từ các hệ thống bị xâm nhập. Mục tiêu chính của nó là trích xuất dữ liệu nhạy cảm và tiến hành giám sát trong mạng của nạn nhân. Thông tin chi tiết về mối đe dọa đã được tiết lộ bởi các chuyên gia infosec tại Adlumin.

Phần mềm độc hại PowerDrop tận dụng các quy trình và hệ thống hợp pháp

Phần mềm độc hại sử dụng các thông báo yêu cầu lặp lại Giao thức thông báo điều khiển Internet (ICMP) làm phương tiện để thiết lập liên lạc với máy chủ Command-and-Control (C2). Điều này cho phép phần mềm độc hại bắt đầu các hoạt động độc hại của nó.

Khi nhận được thông báo yêu cầu tiếng vang ICMP, máy chủ C2 sẽ phản hồi bằng một lệnh được mã hóa, lệnh này sau đó được giải mã và thực thi trên máy chủ bị xâm nhập. Để trích xuất kết quả của lệnh đã thực hiện, một thông báo ping ICMP tương tự được sử dụng.

Đáng chú ý, việc thực thi lệnh PowerShell được hỗ trợ thông qua việc sử dụng dịch vụ Công cụ quản lý Windows (WMI). Lựa chọn này cho thấy đối thủ cố tình sử dụng các chiến thuật sống xa đất liền, nhằm tránh bị phát hiện bằng cách tận dụng các quy trình hợp pháp của hệ thống.

Mặc dù cấu trúc cốt lõi của mối đe dọa này có thể không có thiết kế phức tạp vốn có, nhưng khả năng che giấu các hoạt động đáng ngờ và trốn tránh sự phát hiện của hệ thống phòng thủ an ninh điểm cuối cho thấy có sự tham gia của các tác nhân đe dọa tinh vi hơn.

Các tác nhân đe dọa sử dụng nhiều phương pháp để xâm phạm mạng cá nhân và công ty

Các tác nhân đe dọa sử dụng nhiều phương pháp và kỹ thuật khác nhau để xâm nhập vào hệ thống của công ty, khai thác các lỗ hổng và điểm yếu trong cơ sở hạ tầng bảo mật của tổ chức. Các kỹ thuật xâm nhập này có thể đa dạng và tinh vi, nhằm mục đích vượt qua hệ thống phòng thủ và giành quyền truy cập trái phép vào thông tin nhạy cảm. Một số phương pháp phổ biến bao gồm:

• Lừa đảo và kỹ thuật xã hội: Những kẻ đe dọa có thể sử dụng các chiến thuật lừa đảo, chẳng hạn như email hoặc cuộc gọi điện thoại lừa đảo, để lừa nhân viên tiết lộ thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập hoặc thông tin cá nhân. Các kỹ thuật kỹ thuật xã hội thao túng các cá nhân để có quyền truy cập trái phép vào hệ thống của công ty.
• Phần mềm độc hại và lỗ hổng: Kẻ tấn công có thể đưa phần mềm độc hại giai đoạn đầu vào hệ thống của công ty thông qua nhiều phương tiện khác nhau, bao gồm tệp đính kèm email độc hại, trang web bị nhiễm hoặc phần mềm bị xâm nhập. Bằng cách khai thác các lỗ hổng trong phần mềm hoặc hệ thống, các tác nhân đe dọa có thể truy cập trái phép và kiểm soát cơ sở hạ tầng quan trọng.
• Tấn công chuỗi cung ứng: Các tác nhân đe dọa có thể nhắm mục tiêu vào các nhà cung cấp hoặc nhà cung cấp bên thứ ba có các biện pháp bảo mật yếu hơn, khai thác các lỗ hổng trong hệ thống của họ để có quyền truy cập vào mạng công ty. Sau khi vào bên trong, họ có thể di chuyển ngang và leo thang các đặc quyền của mình.
• Tấn công Brute-Force: Những kẻ tấn công có thể cố gắng giành quyền truy cập vào các hệ thống của công ty bằng cách thử một cách có hệ thống nhiều kết hợp tên người dùng và mật khẩu cho đến khi chúng phát hiện ra thông tin đăng nhập chính xác.
• Tấn công giao thức máy tính từ xa (RDP): Các tác nhân đe dọa nhắm mục tiêu vào các cổng RDP bị lộ để có quyền truy cập trái phép vào hệ thống của công ty. Họ có thể khai thác mật khẩu yếu hoặc lỗ hổng trong phần mềm RDP để xâm phạm mạng.
• Khai thác Zero-Day: Các lỗ hổng zero-day đề cập đến các lỗ hổng phần mềm không xác định mà các tác nhân đe dọa phát hiện ra trước khi các nhà phát triển có thể vá chúng. Những kẻ tấn công có thể khai thác những lỗ hổng này để có được quyền truy cập trái phép vào hệ thống của công ty.

Các tác nhân đe dọa liên tục phát triển các kỹ thuật của chúng và áp dụng các phương pháp mới để xâm nhập vào hệ thống của công ty. Do đó, các tổ chức phải triển khai các biện pháp bảo mật toàn diện, bao gồm cập nhật phần mềm thường xuyên, đào tạo nhân viên, phân đoạn mạng, hệ thống phát hiện xâm nhập và kiểm soát truy cập mạnh mẽ để bảo vệ chống lại những nỗ lực xâm nhập này.