Το κακόβουλο λογισμικό PowerDrop χρησιμοποιεί το PowerShell

Ένας παράγοντας απειλής που δεν είχε αναγνωριστεί προηγουμένως έχει παρατηρηθεί να στρέφει την εστίασή του προς την αεροδιαστημική βιομηχανία των ΗΠΑ, χρησιμοποιώντας ένα πρόσφατα αναπτυγμένο κακόβουλο λογισμικό γνωστό ως PowerDrop, το οποίο λειτουργεί μέσω του PowerShell.

Σύμφωνα με την Adlumin, την εταιρεία κυβερνοασφάλειας που έκανε την ανακάλυψη, το PowerDrop χρησιμοποιεί εξελιγμένες μεθόδους για να αποφύγει τον εντοπισμό, συμπεριλαμβανομένων τακτικών όπως εξαπάτηση, κωδικοποίηση και κρυπτογράφηση. Αυτό το κακόβουλο λογισμικό ανακαλύφθηκε στα συστήματα ενός άγνωστου εργολάβου εγχώριας αεροδιαστημικής άμυνας τον Μάιο του 2023.

Τρόπος λειτουργίας PowerDrop

Το όνομα "PowerDrop" προέρχεται από τη συγχώνευση του "Power" από το εργαλείο δέσμης ενεργειών Windows PowerShell και "Drop" από τη συμβολοσειρά DROP (DRP) που βρίσκεται στον κώδικα για να χρησιμεύσει ως padding.

Το PowerDrop χρησιμεύει ως εργαλείο για μετα-εκμετάλλευση, επιτρέποντας τη συλλογή πληροφοριών από στοχευμένα δίκτυα μετά την αρχική απόκτηση μη εξουσιοδοτημένης πρόσβασης μέσω εναλλακτικών μέσων.

Για τη δημιουργία επικοινωνίας με έναν διακομιστή εντολών και ελέγχου (C2), το κακόβουλο λογισμικό χρησιμοποιεί μηνύματα αιτήματος ηχούς του Πρωτοκόλλου Ελέγχου Διαδικτύου (ICMP) ως φάρους. Σε απόκριση, ο διακομιστής στέλνει μια κρυπτογραφημένη εντολή που στη συνέχεια αποκωδικοποιείται και εκτελείται στον παραβιασμένο κεντρικό υπολογιστή. Επιπλέον, ένα παρόμοιο μήνυμα ping ICMP χρησιμοποιείται για τη μετάδοση των αποτελεσμάτων της εντολής πίσω στον εισβολέα.

Επιπλέον, η εκτέλεση της εντολής PowerShell πραγματοποιείται χρησιμοποιώντας την υπηρεσία Windows Management Instrumentation (WMI), υποδεικνύοντας την πρόθεση του αντιπάλου να εκμεταλλευτεί νόμιμες δυνατότητες του συστήματος για να αποφύγει τον εντοπισμό, μια στρατηγική που συνήθως αναφέρεται ως "living-off-the-land". τακτική.

Πώς μπορούν οι φορείς απειλών να διεισδύσουν σε εταιρικά συστήματα;

Οι φορείς απειλών μπορούν να χρησιμοποιήσουν διάφορες τακτικές για να διεισδύσουν σε εταιρικά συστήματα, μερικές από τις οποίες περιλαμβάνουν:

Επιθέσεις phishing: Αυτό περιλαμβάνει την αποστολή παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου ή μηνυμάτων σε υπαλλήλους, συχνά μεταμφιεσμένους ως νόμιμες οντότητες ή άτομα, σε μια προσπάθεια εξαπάτησης να αποκαλύψουν ευαίσθητες πληροφορίες ή να κάνουν κλικ σε κακόβουλους συνδέσμους που παρέχουν μη εξουσιοδοτημένη πρόσβαση.

Κακόβουλο λογισμικό: Οι φορείς απειλών μπορούν να χρησιμοποιήσουν διαφορετικούς τύπους κακόβουλου λογισμικού, όπως ιούς, trojans ή ransomware, για να εκμεταλλευτούν ευπάθειες σε συστήματα ή να εξαπατήσουν τους χρήστες να εγκαταστήσουν κακόβουλο λογισμικό. Αυτό μπορεί να συμβεί μέσω μολυσμένων συνημμένων, παραβιασμένων ιστότοπων ή κακόβουλων λήψεων.

Κοινωνική Μηχανική: Αυτή η τεχνική βασίζεται στη χειραγώγηση ατόμων μέσω ψυχολογικών τακτικών για την απόκτηση μη εξουσιοδοτημένης πρόσβασης. Μπορεί να περιλαμβάνει την πλαστοπροσωπία έμπιστου προσωπικού, την εκμετάλλευση προσωπικών σχέσεων ή τη μόχλευση δημοσίως διαθέσιμων πληροφοριών για την απόκτηση της εμπιστοσύνης του στόχου και την εξαγωγή ευαίσθητων πληροφοριών.

Εσωτερικές απειλές: Μερικές φορές, άτομα εντός ενός οργανισμού θέτουν ηθελημένα ή ακούσια κίνδυνο για την ασφάλεια. Οι δυσαρεστημένοι υπάλληλοι, όσοι υποκινούνται από οικονομικό κέρδος ή άτομα με παραβιασμένα διαπιστευτήρια μπορούν να κάνουν κατάχρηση των προνομίων πρόσβασής τους για να διεισδύσουν σε συστήματα ή να διαρρεύσουν ευαίσθητες πληροφορίες.

Εκμετάλλευση αδύναμων ή εσφαλμένων συστημάτων: Οι φορείς απειλών σαρώνουν ενεργά τα δίκτυα για ευπάθειες, όπως λογισμικό που δεν έχει επιδιορθωθεί, διακομιστές με εσφαλμένη ρύθμιση παραμέτρων ή αδύναμους κωδικούς πρόσβασης. Εντοπίζοντας και εκμεταλλευόμενοι αυτές τις αδυναμίες, μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα εταιρικά συστήματα.

Για να αμυνθούν από αυτές τις μεθόδους διείσδυσης, οι οργανισμοί θα πρέπει να εφαρμόσουν μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας που περιλαμβάνει εκπαίδευση εργαζομένων, τακτικές ενημερώσεις λογισμικού και ενημερώσεις κώδικα, ισχυρούς ελέγχους πρόσβασης, παρακολούθηση δικτύου, κρυπτογράφηση και σχέδια απόκρισης συμβάντων.