PowerDrop-malware maakt gebruik van PowerShell

Er is waargenomen dat een voorheen onbekende bedreigingsactor zijn focus richtte op de Amerikaanse lucht- en ruimtevaartindustrie, gebruikmakend van een nieuw ontwikkelde malware die bekend staat als PowerDrop, die werkt via PowerShell.

Volgens Adlumin, het cyberbeveiligingsbedrijf dat de ontdekking deed, gebruikt PowerDrop geavanceerde methoden om detectie te voorkomen, inclusief tactieken zoals misleiding, codering en codering. Deze kwaadaardige software werd in mei 2023 ontdekt in de systemen van een niet nader genoemde binnenlandse lucht- en ruimtevaartdefensie-aannemer.

PowerDrop-bedrijfsmodus

De naam "PowerDrop" is afgeleid van de samensmelting van "Power" van de scripttool Windows PowerShell en "Drop" van de DROP-tekenreeks (DRP) die in de code wordt gevonden om als opvulling te dienen.

PowerDrop dient als een hulpmiddel voor post-exploitatie, waardoor informatie van gerichte netwerken kan worden verzameld na aanvankelijk ongeautoriseerde toegang via alternatieve middelen.

Om communicatie met een command-and-control (C2)-server tot stand te brengen, gebruikt de malware ICMP-echoverzoekberichten (Internet Control Message Protocol) als bakens. Als reactie hierop stuurt de server een gecodeerde opdracht die vervolgens wordt gedecodeerd en uitgevoerd op de gecompromitteerde host. Bovendien wordt een vergelijkbaar ICMP-pingbericht gebruikt om de resultaten van de instructie terug te sturen naar de aanvaller.

Bovendien vindt de uitvoering van de PowerShell-opdracht plaats met behulp van de Windows Management Instrumentation (WMI)-service, wat aangeeft dat de tegenstander legitieme systeemfuncties wil misbruiken om detectie te voorkomen, een strategie die gewoonlijk wordt aangeduid als "living-off-the-land" tactiek.

Hoe kunnen bedreigingsactoren bedrijfssystemen infiltreren?

Bedreigers kunnen verschillende tactieken gebruiken om bedrijfssystemen te infiltreren, waaronder enkele:

Phishing-aanvallen: dit omvat het verzenden van misleidende e-mails of berichten naar werknemers, vaak vermomd als legitieme entiteiten of individuen, in een poging hen te misleiden om gevoelige informatie vrij te geven of om op kwaadaardige links te klikken die ongeoorloofde toegang verlenen.

Malware: Bedreigers kunnen verschillende soorten malware gebruiken, zoals virussen, trojaanse paarden of ransomware, om kwetsbaarheden in systemen uit te buiten of gebruikers te misleiden om schadelijke software te installeren. Dit kan gebeuren via geïnfecteerde bijlagen, gecompromitteerde websites of kwaadaardige downloads.

Social Engineering: Deze techniek is gebaseerd op het manipuleren van individuen door middel van psychologische tactieken om ongeoorloofde toegang te verkrijgen. Het kan inhouden dat u zich voordoet als vertrouwd personeel, persoonlijke relaties uitbuit of openbaar beschikbare informatie gebruikt om het vertrouwen van het doelwit te winnen en gevoelige informatie te extraheren.

Insiderbedreigingen: soms vormen individuen binnen een organisatie opzettelijk of onopzettelijk een beveiligingsrisico. Ontevreden werknemers, mensen die gemotiveerd zijn door financieel gewin of personen met gecompromitteerde inloggegevens kunnen hun toegangsrechten misbruiken om systemen te infiltreren of gevoelige informatie te lekken.

Exploitatie van zwakke of verkeerd geconfigureerde systemen: bedreigingsactoren scannen netwerken actief op kwetsbaarheden, zoals niet-gepatchte software, verkeerd geconfigureerde servers of zwakke wachtwoorden. Door deze zwakheden te identificeren en te misbruiken, kunnen ze ongeoorloofde toegang krijgen tot bedrijfssystemen.

Om zich tegen deze infiltratiemethoden te verdedigen, moeten organisaties een uitgebreide cyberbeveiligingsstrategie implementeren die training van werknemers, regelmatige software-updates en -patches, sterke toegangscontroles, netwerkbewaking, encryptie en incidentresponsplannen omvat.