PowerDrop Malware bruger PowerShell

En tidligere uidentificeret trusselsaktør er blevet observeret rette sit fokus mod den amerikanske luftfartsindustri ved at anvende en nyudviklet malware kendt som PowerDrop, som opererer gennem PowerShell.

Ifølge Adlumin, cybersikkerhedsfirmaet, der gjorde opdagelsen, bruger PowerDrop sofistikerede metoder til at undgå detektion, herunder taktikker såsom bedrag, kodning og kryptering. Denne ondsindede software blev opdaget i systemerne hos en ikke-oplyst indenlandsk luftfartsforsvarsentreprenør i maj 2023.

PowerDrop Driftstilstand

Navnet "PowerDrop" er afledt af sammenlægningen af "Power" fra scriptværktøjet Windows PowerShell og "Drop" fra DROP (DRP)-strengen fundet i koden for at tjene som polstring.

PowerDrop fungerer som et værktøj til post-udnyttelse, hvilket muliggør indsamling af information fra målrettede netværk efter først at have fået uautoriseret adgang via alternative midler.

For at etablere kommunikation med en kommando-og-kontrol-server (C2) anvender malwaren Internet Control Message Protocol (ICMP) ekkoanmodningsmeddelelser som beacons. Som svar sender serveren en krypteret kommando, der derefter afkodes og udføres på den kompromitterede vært. Derudover bruges en lignende ICMP-ping-meddelelse til at sende resultaterne af instruktionen tilbage til angriberen.

Ydermere foregår udførelsen af PowerShell-kommandoen ved hjælp af Windows Management Instrumentation-tjenesten (WMI), hvilket indikerer modstanderens hensigt om at udnytte legitime systemfunktioner for at undgå detektion, en strategi, der almindeligvis omtales som "living-off-the-land" taktik.

Hvordan kan trusselsaktører infiltrere virksomhedssystemer?

Trusselsaktører kan anvende forskellige taktikker til at infiltrere virksomhedssystemer, hvoraf nogle omfatter:

Phishing-angreb: Dette involverer at sende vildledende e-mails eller beskeder til medarbejdere, ofte forklædt som legitime enheder eller enkeltpersoner, i et forsøg på at narre dem til at afsløre følsomme oplysninger eller klikke på ondsindede links, der giver uautoriseret adgang.

Malware: Trusselaktører kan bruge forskellige typer malware, såsom vira, trojanske heste eller ransomware, til at udnytte sårbarheder i systemer eller narre brugere til at installere skadelig software. Dette kan ske gennem inficerede vedhæftede filer, kompromitterede websteder eller ondsindede downloads.

Social Engineering: Denne teknik er afhængig af at manipulere individer gennem psykologiske taktikker for at opnå uautoriseret adgang. Det kan involvere at efterligne betroet personale, udnytte personlige forhold eller udnytte offentligt tilgængelige oplysninger til at vinde målets tillid og udtrække følsomme oplysninger.

Insidertrusler: Nogle gange udgør enkeltpersoner i en organisation bevidst eller utilsigtet en sikkerhedsrisiko. Utilfredse medarbejdere, dem, der er motiveret af økonomisk vinding, eller personer med kompromitterede legitimationsoplysninger kan misbruge deres adgangsrettigheder til at infiltrere systemer eller lække følsomme oplysninger.

Udnyttelse af svage eller forkert konfigurerede systemer: Trusselsaktører scanner aktivt netværk for sårbarheder, såsom upatchet software, forkert konfigurerede servere eller svage adgangskoder. Ved at identificere og udnytte disse svagheder kan de få uautoriseret adgang til virksomhedens systemer.

For at forsvare sig mod disse infiltrationsmetoder bør organisationer implementere en omfattende cybersikkerhedsstrategi, der inkluderer medarbejderuddannelse, regelmæssige softwareopdateringer og patches, stærke adgangskontroller, netværksovervågning, kryptering og hændelsesresponsplaner.