„PowerDrop“ kenkėjiška programa naudoja „PowerShell“.

Pastebėta, kad anksčiau nenustatytas grėsmės veikėjas savo dėmesį nukreipė į JAV aviacijos ir kosmoso pramonę, naudodamas naujai sukurtą kenkėjišką programą, žinomą kaip PowerDrop, kuri veikia per PowerShell.

Anot atradimą padariusios kibernetinio saugumo įmonės „Adlumin“, „PowerDrop“ naudoja sudėtingus metodus, kad išvengtų aptikimo, įskaitant tokias taktikas kaip apgaulė, kodavimas ir šifravimas. Ši kenkėjiška programinė įranga buvo aptikta neatskleisto vietinio aviacijos ir erdvės gynybos rangovo sistemose 2023 m. gegužės mėn.

PowerDrop veikimo režimas

Pavadinimas "PowerDrop" yra kilęs iš "Power" sujungimo iš scenarijų įrankio "Windows PowerShell" ir "Drop" iš DROP (DRP) eilutės, esančios kode, kuri naudojama kaip užpildas.

„PowerDrop“ yra įrankis, skirtas naudoti po naudojimo, leidžiantis rinkti informaciją iš tikslinių tinklų iš pradžių gavus neteisėtą prieigą alternatyviomis priemonėmis.

Norėdami užmegzti ryšį su komandų ir valdymo (C2) serveriu, kenkėjiška programa naudoja interneto valdymo pranešimų protokolo (ICMP) aido užklausos pranešimus kaip švyturius. Atsakydamas, serveris siunčia užšifruotą komandą, kuri iššifruojama ir vykdoma pažeistame pagrindiniame kompiuteryje. Be to, naudojamas panašus ICMP ping pranešimas, perduodamas instrukcijos rezultatams atgal užpuolikui.

Be to, „PowerShell“ komanda vykdoma naudojant „Windows Management Instrumentation“ (WMI) paslaugą, nurodant priešininko ketinimą išnaudoti teisėtas sistemos funkcijas, kad būtų išvengta aptikimo. Ši strategija paprastai vadinama „gyvenimu ne žemėje“. taktikos.

Kaip grėsmės veikėjai gali įsiskverbti į įmonių sistemas?

Grėsmių dalyviai gali naudoti įvairias taktikas, kad įsiskverbtų į įmonių sistemas, kai kurios iš jų apima:

Sukčiavimo atakos: tai apima apgaulingų el. laiškų arba pranešimų siuntimą darbuotojams, dažnai užmaskuojamiems teisėtais subjektais ar asmenimis, bandant išvilioti juos atskleisti neskelbtiną informaciją arba spustelėti kenkėjiškas nuorodas, kurios suteikia neteisėtą prieigą.

Kenkėjiškos programos: grėsmės veikėjai gali naudoti įvairių tipų kenkėjiškas programas, pvz., virusus, Trojos arklius ar išpirkos reikalaujančias programas, kad išnaudotų sistemų pažeidžiamumą arba suklaidintų vartotojus, kad jie įdiegtų kenkėjišką programinę įrangą. Tai gali įvykti dėl užkrėstų priedų, pažeistų svetainių arba kenkėjiškų atsisiuntimų.

Socialinė inžinerija: ši technika remiasi manipuliavimu asmenimis naudojant psichologinę taktiką, siekiant gauti neteisėtą prieigą. Tai gali apimti apsimetinėjimą patikimais darbuotojais, asmeninių santykių išnaudojimą arba viešai prieinamos informacijos panaudojimą, siekiant įgyti taikinio pasitikėjimą ir išgauti neskelbtiną informaciją.

Vidinės grėsmės: Kartais organizacijos asmenys tyčia ar netyčia kelia pavojų saugumui. Nepatenkinti darbuotojai, skatinami finansinės naudos arba asmenys, kurių įgaliojimai pažeisti, gali piktnaudžiauti savo prieigos teisėmis, kad įsiskverbtų į sistemas arba nutekėtų neskelbtina informacija.

Silpnų arba netinkamai sukonfigūruotų sistemų išnaudojimas: grėsmės veikėjai aktyviai nuskaito tinklus, ieškodami pažeidžiamumų, tokių kaip nepataisyta programinė įranga, netinkamai sukonfigūruoti serveriai ar silpni slaptažodžiai. Nustatydami ir išnaudodami šiuos trūkumus, jie gali gauti neteisėtą prieigą prie įmonių sistemų.

Siekdamos apsisaugoti nuo šių įsiskverbimo metodų, organizacijos turėtų įgyvendinti išsamią kibernetinio saugumo strategiją, apimančią darbuotojų mokymus, reguliarius programinės įrangos atnaujinimus ir pataisas, stiprią prieigos kontrolę, tinklo stebėjimą, šifravimą ir reagavimo į incidentus planus.