Il malware PowerDrop utilizza PowerShell

Un attore di minacce precedentemente non identificato è stato osservato dirigere la sua attenzione verso l'industria aerospaziale statunitense, impiegando un malware di nuova concezione noto come PowerDrop, che opera tramite PowerShell.

Secondo Adlumin, la società di sicurezza informatica che ha effettuato la scoperta, PowerDrop utilizza metodi sofisticati per evitare il rilevamento, comprese tattiche come l'inganno, la codifica e la crittografia. Questo software dannoso è stato scoperto nei sistemi di un appaltatore della difesa aerospaziale nazionale non dichiarato nel maggio 2023.

Modalità di funzionamento PowerDrop

Il nome "PowerDrop" deriva dalla fusione di "Power" dallo strumento di scripting Windows PowerShell e "Drop" dalla stringa DROP (DRP) trovata nel codice per fungere da riempimento.

PowerDrop funge da strumento per il post-sfruttamento, consentendo la raccolta di informazioni da reti mirate dopo aver inizialmente ottenuto l'accesso non autorizzato tramite mezzi alternativi.

Per stabilire la comunicazione con un server di comando e controllo (C2), il malware utilizza i messaggi di richiesta echo ICMP (Internet Control Message Protocol) come beacon. In risposta, il server invia un comando crittografato che viene quindi decodificato ed eseguito sull'host compromesso. Inoltre, viene utilizzato un messaggio ping ICMP simile per ritrasmettere i risultati dell'istruzione all'aggressore.

Inoltre, l'esecuzione del comando PowerShell avviene utilizzando il servizio Windows Management Instrumentation (WMI), indicando l'intenzione dell'avversario di sfruttare funzionalità di sistema legittime per evitare il rilevamento, una strategia comunemente indicata come "vivere fuori terra" tattiche.

In che modo gli attori delle minacce possono infiltrarsi nei sistemi aziendali?

Gli attori delle minacce possono impiegare varie tattiche per infiltrarsi nei sistemi aziendali, alcuni dei quali includono:

Attacchi di phishing: comporta l'invio di e-mail o messaggi ingannevoli ai dipendenti, spesso camuffati da entità o individui legittimi, nel tentativo di indurli a rivelare informazioni sensibili o a fare clic su collegamenti dannosi che concedono l'accesso non autorizzato.

Malware: gli attori delle minacce possono utilizzare diversi tipi di malware, come virus, trojan o ransomware, per sfruttare le vulnerabilità nei sistemi o indurre gli utenti a installare software dannoso. Ciò può avvenire tramite allegati infetti, siti Web compromessi o download dannosi.

Ingegneria sociale: questa tecnica si basa sulla manipolazione degli individui attraverso tattiche psicologiche per ottenere l'accesso non autorizzato. Può comportare l'impersonificazione di personale fidato, lo sfruttamento di relazioni personali o l'utilizzo di informazioni pubblicamente disponibili per ottenere la fiducia del bersaglio ed estrarre informazioni sensibili.

Minacce interne: a volte, gli individui all'interno di un'organizzazione rappresentano intenzionalmente o inavvertitamente un rischio per la sicurezza. I dipendenti scontenti, quelli motivati da guadagni finanziari o le persone con credenziali compromesse possono abusare dei propri privilegi di accesso per infiltrarsi nei sistemi o far trapelare informazioni sensibili.

Sfruttamento di sistemi deboli o configurati in modo errato: gli attori delle minacce scansionano attivamente le reti alla ricerca di vulnerabilità, come software senza patch, server configurati in modo errato o password deboli. Identificando e sfruttando queste debolezze, possono ottenere l'accesso non autorizzato ai sistemi aziendali.

Per difendersi da questi metodi di infiltrazione, le organizzazioni dovrebbero implementare una strategia di sicurezza informatica completa che includa formazione dei dipendenti, aggiornamenti e patch regolari del software, forti controlli degli accessi, monitoraggio della rete, crittografia e piani di risposta agli incidenti.