Złośliwe oprogramowanie PowerDrop wykorzystuje PowerShell

Zaobserwowano, że wcześniej niezidentyfikowany cyberprzestępca skupił się na amerykańskim przemyśle lotniczym, wykorzystując nowo opracowane złośliwe oprogramowanie znane jako PowerDrop, które działa za pośrednictwem PowerShell.

Według Adlumin, firmy zajmującej się cyberbezpieczeństwem, która dokonała odkrycia, PowerDrop wykorzystuje wyrafinowane metody unikania wykrycia, w tym taktyki takie jak oszustwo, kodowanie i szyfrowanie. To złośliwe oprogramowanie zostało wykryte w systemach nieujawnionego krajowego wykonawcy obrony powietrznej w maju 2023 r.

Tryb pracy PowerDrop

Nazwa „PowerDrop” pochodzi od połączenia „Power” z narzędzia skryptowego Windows PowerShell i „Drop” z ciągu DROP (DRP) znalezionego w kodzie, który służy jako dopełnienie.

PowerDrop służy jako narzędzie post-eksploatacyjne, umożliwiające gromadzenie informacji z docelowych sieci po wstępnym uzyskaniu nieautoryzowanego dostępu za pomocą alternatywnych środków.

Aby nawiązać komunikację z serwerem dowodzenia i kontroli (C2), złośliwe oprogramowanie wykorzystuje jako sygnały nawigacyjne komunikaty żądania echa protokołu ICMP (Internet Control Message Protocol). W odpowiedzi serwer wysyła zaszyfrowane polecenie, które jest następnie dekodowane i wykonywane na zaatakowanym hoście. Ponadto podobna wiadomość ICMP ping jest wykorzystywana do przesyłania wyników instrukcji z powrotem do atakującego.

Co więcej, wykonanie polecenia PowerShell odbywa się za pomocą usługi Windows Management Instrumentation (WMI), wskazującej na zamiary przeciwnika wykorzystania legalnych funkcji systemu w celu uniknięcia wykrycia, co jest strategią powszechnie określaną jako „living-off-the-land” taktyka.

W jaki sposób cyberprzestępcy mogą przeniknąć do systemów korporacyjnych?

Aktorzy stanowiący zagrożenie mogą stosować różne taktyki w celu infiltracji systemów korporacyjnych, z których niektóre obejmują:

Ataki typu phishing: polegają na wysyłaniu oszukańczych e-maili lub wiadomości do pracowników, często podszywających się pod legalne podmioty lub osoby, w celu nakłonienia ich do ujawnienia poufnych informacji lub kliknięcia złośliwych łączy, które zapewniają nieautoryzowany dostęp.

Złośliwe oprogramowanie: cyberprzestępcy mogą wykorzystywać różne rodzaje złośliwego oprogramowania, takie jak wirusy, trojany lub oprogramowanie ransomware, w celu wykorzystania luk w systemach lub nakłonienia użytkowników do zainstalowania złośliwego oprogramowania. Może się to zdarzyć z powodu zainfekowanych załączników, zainfekowanych stron internetowych lub złośliwych pobrań.

Inżynieria społeczna: Ta technika polega na manipulowaniu osobami za pomocą taktyk psychologicznych w celu uzyskania nieautoryzowanego dostępu. Może obejmować podszywanie się pod zaufany personel, wykorzystywanie relacji osobistych lub wykorzystywanie publicznie dostępnych informacji w celu zdobycia zaufania ofiary i wydobycia poufnych informacji.

Zagrożenia wewnętrzne: Czasami osoby w organizacji celowo lub nieumyślnie stwarzają zagrożenie dla bezpieczeństwa. Niezadowoleni pracownicy, osoby motywowane korzyściami finansowymi lub osoby, których dane uwierzytelniające zostały naruszone, mogą nadużywać swoich uprawnień dostępu, aby infiltrować systemy lub ujawniać poufne informacje.

Wykorzystywanie słabych lub źle skonfigurowanych systemów: Aktorzy zagrożeń aktywnie skanują sieci w poszukiwaniu luk, takich jak niezałatane oprogramowanie, źle skonfigurowane serwery lub słabe hasła. Identyfikując i wykorzystując te słabości, mogą uzyskać nieautoryzowany dostęp do systemów korporacyjnych.

Aby bronić się przed tymi metodami infiltracji, organizacje powinny wdrożyć kompleksową strategię cyberbezpieczeństwa, która obejmuje szkolenia pracowników, regularne aktualizacje i poprawki oprogramowania, silną kontrolę dostępu, monitorowanie sieci, szyfrowanie i plany reagowania na incydenty.