PowerDrop 惡意軟件

美國航空航天業已成為身份不明的惡意行為者的目標，該行為者使用一種新發現的基於 PowerShell 的惡意軟件，稱為 PowerDrop。網絡安全研究人員的一份報告顯示，PowerDrop 使用複雜的方法來避免檢測，包括欺騙、編碼和加密。 2023 年 5 月，該惡意軟件被發現植入了一家未公開身份的美國航空航天防禦承包商的系統中。

PowerDrop 的威脅功能超越了初始訪問，並允許威脅充當後期開發工具。這意味著一旦攻擊者通過替代方法進入受害者的網絡，PowerDrop 就會被部署以從受感染的系統中收集有價值的信息。它的主要目標是提取敏感數據並在受害者的網絡內進行監視。 Adlumin 的信息安全專家發布了有關威脅的詳細信息。

PowerDrop 惡意軟件利用合法進程和系統

該惡意軟件利用 Internet 控制消息協議 (ICMP) 回顯請求消息作為與命令和控制 (C2) 服務器建立通信的手段。這使惡意軟件能夠啟動其惡意操作。

在收到 ICMP 回顯請求消息後，C2 服務器以加密的命令進行響應，然後在受感染的主機上對其進行解碼和執行。為了洩露執行指令的結果，使用了類似的 ICMP ping 消息。

值得注意的是，通過使用 Windows Management Instrumentation (WMI) 服務可以促進 PowerShell 命令的執行。這種選擇表明對手故意使用離地戰術，旨在通過利用合法的系統進程來逃避檢測。

儘管這種威脅的核心結構可能不具備固有的複雜設計，但它掩蓋可疑活動和逃避端點安全防禦檢測的能力表明涉及更複雜的威脅參與者。

威脅行為者使用多種方法破壞個人和公司網絡

威脅行為者採用各種方法和技術滲透企業系統，利用組織安全基礎設施中的漏洞和弱點。這些滲透技術可能多種多樣且複雜，旨在繞過防禦並獲得對敏感信息的未授權訪問。一些常見的方法包括：

• 網絡釣魚和社會工程：威脅行為者可能會使用欺騙性策略（例如網絡釣魚電子郵件或電話）來誘騙員工洩露敏感信息，例如登錄憑據或個人詳細信息。社會工程技術操縱個人獲得對公司係統的未授權訪問。
• 惡意軟件和漏洞利用：攻擊者可以通過各種方式將第一階段的惡意軟件引入企業系統，包括惡意電子郵件附件、受感染的網站或受感染的軟件。通過利用軟件或系統中的漏洞，威脅行為者可以獲得對關鍵基礎設施的未授權訪問和控制。
• 供應鏈攻擊：威脅行為者可以針對第三方供應商或安全措施較弱的供應商，利用其係統中的漏洞獲取對公司網絡的訪問權限。一旦進入內部，他們就可以橫向移動並提升他們的特權。
• 蠻力攻擊：攻擊者可能會系統地嘗試多種用戶名和密碼組合，直到他們發現正確的憑據，從而嘗試訪問公司係統。
• 遠程桌面協議 (RDP) 攻擊：威脅行為者將暴露的 RDP 端口作為目標，以獲得對企業系統的未授權訪問。他們可能會利用 RDP 軟件中的弱密碼或漏洞來破壞網絡。
• 零日漏洞：零日漏洞是指威脅行為者在開發人員可以修補它們之前發現的未知軟件漏洞。攻擊者可以利用這些漏洞獲得對企業系統的未授權訪問。

威脅行為者不斷發展他們的技術並採用新方法來滲透企業系統。因此，組織必須實施全面的安全措施，包括定期軟件更新、員工培訓、網絡分段、入侵檢測系統和強大的訪問控制，以防止這些滲透企圖。