Le logiciel malveillant PowerDrop utilise PowerShell
Un acteur de la menace précédemment non identifié a été observé en train de se concentrer sur l'industrie aérospatiale américaine, en utilisant un logiciel malveillant nouvellement développé connu sous le nom de PowerDrop, qui fonctionne via PowerShell.
Selon Adlumin, la société de cybersécurité qui a fait la découverte, PowerDrop utilise des méthodes sophistiquées pour éviter la détection, y compris des tactiques telles que la tromperie, l'encodage et le cryptage. Ce logiciel malveillant a été découvert dans les systèmes d'un sous-traitant de la défense aérospatiale nationale non divulgué en mai 2023.
Mode de fonctionnement PowerDrop
Le nom "PowerDrop" est dérivé de la fusion de "Power" de l'outil de script Windows PowerShell et de "Drop" de la chaîne DROP (DRP) trouvée dans le code pour servir de remplissage.
PowerDrop sert d'outil de post-exploitation, permettant la collecte d'informations à partir de réseaux ciblés après avoir initialement obtenu un accès non autorisé par d'autres moyens.
Pour établir la communication avec un serveur de commande et de contrôle (C2), le logiciel malveillant utilise des messages de demande d'écho ICMP (Internet Control Message Protocol) comme balises. En réponse, le serveur envoie une commande cryptée qui est ensuite décodée et exécutée sur l'hôte compromis. De plus, un message ping ICMP similaire est utilisé pour transmettre les résultats de l'instruction à l'attaquant.
De plus, l'exécution de la commande PowerShell s'effectue à l'aide du service Windows Management Instrumentation (WMI), indiquant l'intention de l'adversaire d'exploiter les fonctionnalités légitimes du système afin d'éviter la détection, une stratégie communément appelée "vivre hors de la terre". tactique.
Comment les acteurs de la menace peuvent-ils infiltrer les systèmes d'entreprise ?
Les acteurs de la menace peuvent employer diverses tactiques pour infiltrer les systèmes d'entreprise, dont certaines incluent :
Attaques d'hameçonnage : il s'agit d'envoyer des e-mails ou des messages trompeurs à des employés, souvent déguisés en entités ou individus légitimes, dans le but de les inciter à révéler des informations sensibles ou à cliquer sur des liens malveillants qui autorisent un accès non autorisé.
Logiciels malveillants : les auteurs de menaces peuvent utiliser différents types de logiciels malveillants, tels que des virus, des chevaux de Troie ou des logiciels de rançon, pour exploiter les vulnérabilités des systèmes ou inciter les utilisateurs à installer des logiciels malveillants. Cela peut se produire par le biais de pièces jointes infectées, de sites Web compromis ou de téléchargements malveillants.
Ingénierie sociale : cette technique repose sur la manipulation d'individus par le biais de tactiques psychologiques pour obtenir un accès non autorisé. Cela peut impliquer de se faire passer pour un personnel de confiance, d'exploiter des relations personnelles ou d'exploiter des informations accessibles au public pour gagner la confiance de la cible et extraire des informations sensibles.
Menaces internes : Parfois, des individus au sein d'une organisation présentent intentionnellement ou par inadvertance un risque pour la sécurité. Les employés mécontents, ceux motivés par le gain financier ou les personnes dont les informations d'identification sont compromises peuvent abuser de leurs privilèges d'accès pour infiltrer les systèmes ou divulguer des informations sensibles.
Exploitation de systèmes faibles ou mal configurés : les pirates analysent activement les réseaux à la recherche de vulnérabilités, telles que des logiciels non corrigés, des serveurs mal configurés ou des mots de passe faibles. En identifiant et en exploitant ces faiblesses, ils peuvent obtenir un accès non autorisé aux systèmes de l'entreprise.
Pour se défendre contre ces méthodes d'infiltration, les organisations doivent mettre en œuvre une stratégie de cybersécurité complète qui comprend la formation des employés, des mises à jour et des correctifs logiciels réguliers, des contrôles d'accès renforcés, la surveillance du réseau, le chiffrement et des plans de réponse aux incidents.