PowerDrop-Malware verwendet PowerShell

Es wurde beobachtet, dass ein bisher nicht identifizierter Bedrohungsakteur seinen Fokus auf die US-amerikanische Luft- und Raumfahrtindustrie richtete und eine neu entwickelte Malware namens PowerDrop einsetzte, die über PowerShell operiert.

Laut Adlumin, dem Cybersicherheitsunternehmen, das die Entdeckung gemacht hat, nutzt PowerDrop ausgefeilte Methoden, um einer Entdeckung zu entgehen, darunter Taktiken wie Täuschung, Kodierung und Verschlüsselung. Diese Schadsoftware wurde im Mai 2023 in den Systemen eines unbekannten inländischen Luft- und Raumfahrtverteidigungsunternehmens entdeckt.

PowerDrop-Betriebsmodus

Der Name „PowerDrop“ leitet sich aus der Kombination von „Power“ aus dem Skripttool Windows PowerShell und „Drop“ aus der DROP (DRP)-Zeichenfolge im Code ab, die als Auffüllung dient.

PowerDrop dient als Tool für die Post-Exploitation und ermöglicht das Sammeln von Informationen aus Zielnetzwerken, nachdem zunächst auf alternativen Wegen unbefugter Zugriff erlangt wurde.

Um die Kommunikation mit einem Command-and-Control-Server (C2) herzustellen, verwendet die Malware Echo-Request-Nachrichten des Internet Control Message Protocol (ICMP) als Beacons. Als Antwort sendet der Server einen verschlüsselten Befehl, der dann dekodiert und auf dem gefährdeten Host ausgeführt wird. Darüber hinaus wird eine ähnliche ICMP-Ping-Nachricht verwendet, um die Ergebnisse der Anweisung an den Angreifer zurückzusenden.

Darüber hinaus erfolgt die Ausführung des PowerShell-Befehls über den Windows Management Instrumentation (WMI)-Dienst, was auf die Absicht des Angreifers hinweist, legitime Systemfunktionen auszunutzen, um einer Entdeckung zu entgehen, eine Strategie, die gemeinhin als „Living-off-the-land“ bezeichnet wird. Taktik.

Wie können Bedrohungsakteure Unternehmenssysteme infiltrieren?

Bedrohungsakteure können verschiedene Taktiken anwenden, um Unternehmenssysteme zu infiltrieren, darunter:

Phishing-Angriffe: Dabei handelt es sich um das Versenden irreführender E-Mails oder Nachrichten an Mitarbeiter, oft getarnt als legitime Einheiten oder Einzelpersonen, mit dem Ziel, sie dazu zu bringen, vertrauliche Informationen preiszugeben oder auf bösartige Links zu klicken, die unbefugten Zugriff gewähren.

Malware: Bedrohungsakteure können verschiedene Arten von Malware wie Viren, Trojaner oder Ransomware verwenden, um Schwachstellen in Systemen auszunutzen oder Benutzer zur Installation schädlicher Software zu verleiten. Dies kann durch infizierte Anhänge, kompromittierte Websites oder böswillige Downloads geschehen.

Social Engineering: Diese Technik beruht auf der Manipulation von Personen durch psychologische Taktiken, um unbefugten Zugriff zu erhalten. Dabei kann es darum gehen, sich als vertrauenswürdiges Personal auszugeben, persönliche Beziehungen auszunutzen oder öffentlich verfügbare Informationen zu nutzen, um das Vertrauen des Ziels zu gewinnen und vertrauliche Informationen zu extrahieren.

Insider-Bedrohungen: Manchmal stellen Einzelpersonen innerhalb einer Organisation absichtlich oder unabsichtlich ein Sicherheitsrisiko dar. Verärgerte Mitarbeiter, aus finanziellen Gründen motivierte Mitarbeiter oder Personen mit manipulierten Zugangsdaten können ihre Zugriffsrechte missbrauchen, um Systeme zu infiltrieren oder vertrauliche Informationen preiszugeben.

Ausnutzung schwacher oder falsch konfigurierter Systeme: Bedrohungsakteure scannen Netzwerke aktiv auf Schwachstellen, beispielsweise ungepatchte Software, falsch konfigurierte Server oder schwache Passwörter. Durch die Identifizierung und Ausnutzung dieser Schwachstellen können sie sich unbefugten Zugriff auf Unternehmenssysteme verschaffen.

Um sich gegen diese Infiltrationsmethoden zu verteidigen, sollten Unternehmen eine umfassende Cybersicherheitsstrategie implementieren, die Mitarbeiterschulungen, regelmäßige Software-Updates und -Patches, strenge Zugriffskontrollen, Netzwerküberwachung, Verschlüsselung und Pläne zur Reaktion auf Vorfälle umfasst.