Вредоносное ПО PowerDrop использует PowerShell
Было замечено, что ранее неизвестный злоумышленник направил свое внимание на аэрокосмическую промышленность США, используя недавно разработанное вредоносное ПО, известное как PowerDrop, которое работает через PowerShell.
По словам Adlumin, фирмы по кибербезопасности, которая сделала открытие, PowerDrop использует сложные методы, чтобы избежать обнаружения, включая такие тактики, как обман, кодирование и шифрование. Это вредоносное ПО было обнаружено в системах неназванного отечественного подрядчика аэрокосмической обороны в мае 2023 года.
Режим работы PowerDrop
Название «PowerDrop» происходит от объединения «Power» из инструмента сценариев Windows PowerShell и «Drop» из строки DROP (DRP), найденной в коде, которая служит дополнением.
PowerDrop служит инструментом для пост-эксплуатации, позволяя собирать информацию из целевых сетей после первоначального получения несанкционированного доступа с помощью альтернативных средств.
Чтобы установить связь с сервером управления и контроля (C2), вредоносное ПО использует эхо-запросы протокола ICMP (Internet Control Message Protocol) в качестве маяков. В ответ сервер отправляет зашифрованную команду, которая затем декодируется и выполняется на скомпрометированном узле. Кроме того, аналогичное пинг-сообщение ICMP используется для передачи результатов инструкции злоумышленнику.
Кроме того, выполнение команды PowerShell происходит с использованием службы инструментария управления Windows (WMI), что указывает на намерение злоумышленника использовать законные функции системы, чтобы избежать обнаружения, стратегия, обычно называемая «жить за пределами земли». тактика.
Как злоумышленники могут проникнуть в корпоративные системы?
Злоумышленники могут использовать различные тактики для проникновения в корпоративные системы, некоторые из которых включают:
Фишинговые атаки: это включает в себя отправку вводящих в заблуждение электронных писем или сообщений сотрудникам, часто замаскированным под законных юридических или физических лиц, в попытке обманом заставить их раскрыть конфиденциальную информацию или перейти по вредоносным ссылкам, которые предоставляют несанкционированный доступ.
Вредоносное ПО. Злоумышленники могут использовать различные типы вредоносных программ, например вирусы, трояны или программы-вымогатели, для использования уязвимостей в системах или обмана пользователей, заставляющих их устанавливать вредоносное ПО. Это может произойти из-за зараженных вложений, взломанных веб-сайтов или вредоносных загрузок.
Социальная инженерия: этот метод основан на манипулировании людьми с помощью психологической тактики для получения несанкционированного доступа. Это может включать выдачу себя за доверенных лиц, использование личных отношений или использование общедоступной информации для завоевания доверия цели и извлечения конфиденциальной информации.
Внутренние угрозы. Иногда отдельные лица в организации намеренно или непреднамеренно представляют угрозу безопасности. Недовольные сотрудники, те, кто мотивирован финансовой выгодой, или лица с скомпрометированными учетными данными могут злоупотреблять своими правами доступа для проникновения в системы или утечки конфиденциальной информации.
Использование слабых или неправильно настроенных систем. Злоумышленники активно сканируют сети на наличие уязвимостей, таких как неисправленное программное обеспечение, неправильно настроенные серверы или слабые пароли. Выявив и используя эти уязвимости, они могут получить несанкционированный доступ к корпоративным системам.
Чтобы защититься от этих методов проникновения, организации должны внедрить комплексную стратегию кибербезопасности, которая включает в себя обучение сотрудников, регулярные обновления и исправления программного обеспечения, строгий контроль доступа, мониторинг сети, шифрование и планы реагирования на инциденты.