PowerDrop 恶意软件

美国航空航天业已成为身份不明的恶意行为者的目标，该行为者使用一种新发现的基于 PowerShell 的恶意软件，称为 PowerDrop。网络安全研究人员的一份报告显示，PowerDrop 使用复杂的方法来避免检测，包括欺骗、编码和加密。 2023 年 5 月，该恶意软件被发现植入了一家未公开身份的美国航空航天防御承包商的系统中。

PowerDrop 的威胁功能超越了初始访问，并允许威胁充当后期开发工具。这意味着一旦攻击者通过替代方法进入受害者的网络，PowerDrop 就会被部署以从受感染的系统中收集有价值的信息。它的主要目标是提取敏感数据并在受害者的网络内进行监视。 Adlumin 的信息安全专家发布了有关威胁的详细信息。

PowerDrop 恶意软件利用合法进程和系统

该恶意软件利用 Internet 控制消息协议 (ICMP) 回显请求消息作为与命令和控制 (C2) 服务器建立通信的手段。这使恶意软件能够启动其恶意操作。

在收到 ICMP 回显请求消息后，C2 服务器以加密的命令进行响应，然后在受感染的主机上对其进行解码和执行。为了泄露执行指令的结果，使用了类似的 ICMP ping 消息。

值得注意的是，通过使用 Windows Management Instrumentation (WMI) 服务可以促进 PowerShell 命令的执行。这种选择表明对手故意使用离地战术，旨在通过利用合法的系统进程来逃避检测。

尽管这种威胁的核心结构可能不具备固有的复杂设计，但它掩盖可疑活动和逃避端点安全防御检测的能力表明涉及更复杂的威胁参与者。

威胁行为者使用多种方法破坏个人和公司网络

威胁行为者采用各种方法和技术渗透企业系统，利用组织安全基础设施中的漏洞和弱点。这些渗透技术可能多种多样且复杂，旨在绕过防御并获得对敏感信息的未授权访问。一些常见的方法包括：

• 网络钓鱼和社会工程：威胁行为者可能会使用欺骗性策略（例如网络钓鱼电子邮件或电话）来诱骗员工泄露敏感信息，例如登录凭据或个人详细信息。社会工程技术操纵个人获得对公司系统的未授权访问。
• 恶意软件和漏洞利用：攻击者可以通过各种方式将第一阶段的恶意软件引入企业系统，包括恶意电子邮件附件、受感染的网站或受感染的软件。通过利用软件或系统中的漏洞，威胁行为者可以获得对关键基础设施的未授权访问和控制。
• 供应链攻击：威胁行为者可以针对第三方供应商或安全措施较弱的供应商，利用其系统中的漏洞获取对公司网络的访问权限。一旦进入内部，他们就可以横向移动并提升他们的特权。
• 蛮力攻击：攻击者可能会系统地尝试多种用户名和密码组合，直到他们发现正确的凭据，从而尝试访问公司系统。
• 远程桌面协议 (RDP) 攻击：威胁行为者将暴露的 RDP 端口作为目标，以获得对企业系统的未授权访问。他们可能会利用 RDP 软件中的弱密码或漏洞来破坏网络。
• 零日漏洞：零日漏洞是指威胁行为者在开发人员可以修补它们之前发现的未知软件漏洞。攻击者可以利用这些漏洞获得对企业系统的未授权访问。

威胁行为者不断发展他们的技术并采用新方法来渗透企业系统。因此，组织必须实施全面的安全措施，包括定期软件更新、员工培训、网络分段、入侵检测系统和强大的访问控制，以防止这些渗透企图。