PowerDrop Malware bruker PowerShell

En tidligere uidentifisert trusselaktør har blitt observert rettet sitt fokus mot den amerikanske romfartsindustrien, ved å bruke en nyutviklet skadelig programvare kjent som PowerDrop, som opererer gjennom PowerShell.

Ifølge Adlumin, cybersikkerhetsfirmaet som gjorde oppdagelsen, bruker PowerDrop sofistikerte metoder for å unngå oppdagelse, inkludert taktikker som bedrag, koding og kryptering. Denne ondsinnede programvaren ble oppdaget i systemene til en ikke avslørt innenlandsk luftfartsforsvarsentreprenør i mai 2023.

PowerDrop Driftsmodus

Navnet "PowerDrop" er avledet fra sammenslåingen av "Power" fra skriptverktøyet Windows PowerShell og "Drop" fra DROP (DRP)-strengen som finnes i koden for å tjene som utfylling.

PowerDrop fungerer som et verktøy for post-utnyttelse, som muliggjør innhenting av informasjon fra målrettede nettverk etter først å ha fått uautorisert tilgang på alternative måter.

For å etablere kommunikasjon med en kommando-og-kontroll-server (C2), bruker skadevareprogrammet Internet Control Message Protocol (ICMP) ekkoforespørselsmeldinger som beacons. Som svar sender serveren en kryptert kommando som deretter dekodes og utføres på den kompromitterte verten. I tillegg brukes en lignende ICMP-pingmelding for å overføre resultatene av instruksjonen tilbake til angriperen.

Videre utføres PowerShell-kommandoen ved å bruke Windows Management Instrumentation-tjenesten (WMI), noe som indikerer motstanderens intensjon om å utnytte legitime systemfunksjoner for å unngå oppdagelse, en strategi som ofte refereres til som "living-off-the-land" taktikk.

Hvordan kan trusselaktører infiltrere bedriftssystemer?

Trusselaktører kan bruke ulike taktikker for å infiltrere bedriftssystemer, hvorav noen inkluderer:

Phishing-angrep: Dette innebærer å sende villedende e-poster eller meldinger til ansatte, ofte forkledd som legitime enheter eller enkeltpersoner, i et forsøk på å lure dem til å avsløre sensitiv informasjon eller klikke på ondsinnede lenker som gir uautorisert tilgang.

Skadelig programvare: Trusselaktører kan bruke ulike typer skadelig programvare, som virus, trojanere eller løsepengeprogramvare, for å utnytte sårbarheter i systemer eller lure brukere til å installere skadelig programvare. Dette kan skje gjennom infiserte vedlegg, kompromitterte nettsteder eller ondsinnede nedlastinger.

Social Engineering: Denne teknikken er avhengig av å manipulere individer gjennom psykologiske taktikker for å få uautorisert tilgang. Det kan innebære å utgi seg for pålitelig personell, utnytte personlige relasjoner eller utnytte offentlig tilgjengelig informasjon for å oppnå målets tillit og trekke ut sensitiv informasjon.

Insidertrusler: Noen ganger utgjør enkeltpersoner i en organisasjon med vilje eller utilsiktet en sikkerhetsrisiko. Misfornøyde ansatte, de som er motivert av økonomisk vinning, eller personer med kompromittert legitimasjon kan misbruke tilgangsrettighetene sine til å infiltrere systemer eller lekke sensitiv informasjon.

Utnyttelse av svake eller feilkonfigurerte systemer: Trusselaktører skanner nettverk aktivt for sårbarheter, for eksempel uopprettet programvare, feilkonfigurerte servere eller svake passord. Ved å identifisere og utnytte disse svakhetene kan de få uautorisert tilgang til bedriftens systemer.

For å forsvare seg mot disse infiltrasjonsmetodene, bør organisasjoner implementere en omfattende nettsikkerhetsstrategi som inkluderer opplæring av ansatte, regelmessige programvareoppdateringer og patcher, sterke tilgangskontroller, nettverksovervåking, kryptering og hendelsesresponsplaner.