PowerDrop マルウェアは PowerShell を使用します
これまで正体不明だった攻撃者が、PowerShell を通じて動作する PowerDrop として知られる新しく開発されたマルウェアを使用して、米国の航空宇宙産業に焦点を向けていることが観察されました。
この発見を行ったサイバーセキュリティ企業 Adlumin によると、PowerDrop は、欺瞞、エンコーディング、暗号化などの戦術を含む高度な手法を利用して検出を回避しているとのことです。この悪意のあるソフトウェアは、2023 年 5 月に非公開の国内航空宇宙防衛請負業者のシステムで発見されました。
PowerDrop 動作モード
「PowerDrop」という名前は、スクリプト ツール Windows PowerShell の「Power」と、コード内でパディングとして機能する DROP (DRP) 文字列の「Drop」を組み合わせたものです。
PowerDrop はエクスプロイト後のツールとして機能し、代替手段を通じて最初に不正アクセスを取得した後、標的のネットワークから情報を収集できるようにします。
コマンド アンド コントロール (C2) サーバーとの通信を確立するために、マルウェアはインターネット コントロール メッセージ プロトコル (ICMP) エコー要求メッセージをビーコンとして使用します。これに応じて、サーバーは暗号化されたコマンドを送信し、侵害されたホスト上でデコードされて実行されます。さらに、同様の ICMP ping メッセージを利用して、命令の結果が攻撃者に返送されます。
さらに、PowerShell コマンドの実行は Windows Management Instrumentation (WMI) サービスを使用して行われます。これは、攻撃者が検出を回避するために正規のシステム機能を悪用する意図を示しており、これは一般に「常駐」と呼ばれる戦略です。戦術。
脅威アクターはどのようにして企業システムに侵入するのでしょうか?
脅威アクターはさまざまな戦術を使用して企業システムに侵入する可能性があり、その中には次のようなものがあります。
フィッシング攻撃:これには、従業員をだまして機密情報を暴露させたり、不正アクセスを許可する悪意のあるリンクをクリックさせようとして、正規の組織や個人を装って従業員に欺瞞的な電子メールやメッセージを送信することが含まれます。
マルウェア:脅威アクターは、ウイルス、トロイの木馬、ランサムウェアなどのさまざまな種類のマルウェアを使用して、システムの脆弱性を悪用したり、ユーザーをだまして悪意のあるソフトウェアをインストールさせることができます。これは、感染した添付ファイル、侵害された Web サイト、または悪意のあるダウンロードによって発生する可能性があります。
ソーシャル エンジニアリング:この手法は、心理的戦術によって個人を操作し、不正アクセスを取得することに依存しています。これには、信頼できる人物になりすましたり、個人的な関係を悪用したり、公開情報を利用してターゲットの信頼を獲得し、機密情報を抽出したりすることが含まれる場合があります。
内部関係者の脅威:場合によっては、組織内の個人が意図的または不注意でセキュリティ リスクを引き起こすことがあります。不満を抱いた従業員、金銭的利益を目的とした従業員、または資格情報が侵害された個人は、アクセス権限を悪用してシステムに侵入したり、機密情報を漏洩したりする可能性があります。
脆弱なシステムまたは構成が間違っているシステムの悪用:攻撃者は、パッチが適用されていないソフトウェア、構成が間違っているサーバー、弱いパスワードなどの脆弱性がないかネットワークを積極的にスキャンします。これらの弱点を特定して悪用することで、企業システムに不正にアクセスできるようになります。
これらの侵入手法を防ぐために、組織は従業員のトレーニング、定期的なソフトウェア更新とパッチ、強力なアクセス制御、ネットワーク監視、暗号化、インシデント対応計画などを含む包括的なサイバーセキュリティ戦略を導入する必要があります。