PowerDrop Malware använder PowerShell

En tidigare oidentifierad hotaktör har observerats rikta sitt fokus mot den amerikanska flygindustrin, med hjälp av en nyutvecklad skadlig programvara känd som PowerDrop, som fungerar genom PowerShell.

Enligt Adlumin, cybersäkerhetsföretaget som gjorde upptäckten, använder PowerDrop sofistikerade metoder för att undvika upptäckt, inklusive taktik som bedrägeri, kodning och kryptering. Denna skadliga programvara upptäcktes i systemen hos en hemlig försvarsentreprenör för flygindustrin i maj 2023.

PowerDrop Driftläge

Namnet "PowerDrop" kommer från sammanslagningen av "Power" från skriptverktyget Windows PowerShell och "Drop" från DROP (DRP)-strängen som finns i koden för att fungera som utfyllnad.

PowerDrop fungerar som ett verktyg för efterexploatering, vilket möjliggör insamling av information från riktade nätverk efter att ha fått obehörig åtkomst genom alternativa metoder.

För att upprätta kommunikation med en kommando-och-kontroll-server (C2) använder den skadliga programvaran Internet Control Message Protocol (ICMP) ekobegäranmeddelanden som signaler. Som svar skickar servern ett krypterat kommando som sedan avkodas och exekveras på den komprometterade värden. Dessutom används ett liknande ICMP-pingmeddelande för att överföra resultatet av instruktionen tillbaka till angriparen.

Dessutom utförs PowerShell-kommandot med hjälp av Windows Management Instrumentation-tjänsten (WMI), vilket indikerar motståndarens avsikt att utnyttja legitima systemfunktioner för att undvika upptäckt, en strategi som vanligtvis kallas "living-off-the-land" taktik.

Hur kan hotaktörer infiltrera företagssystem?

Hotaktörer kan använda olika taktiker för att infiltrera företagssystem, av vilka några inkluderar:

Nätfiskeattacker: Detta innebär att skicka vilseledande e-postmeddelanden eller meddelanden till anställda, ofta förklädda till legitima enheter eller individer, i ett försök att lura dem att avslöja känslig information eller klicka på skadliga länkar som ger obehörig åtkomst.

Skadlig programvara: Hotaktörer kan använda olika typer av skadlig programvara, som virus, trojaner eller ransomware, för att utnyttja sårbarheter i system eller lura användare att installera skadlig programvara. Detta kan hända genom infekterade bilagor, komprometterade webbplatser eller skadliga nedladdningar.

Social Engineering: Denna teknik bygger på att manipulera individer genom psykologiska taktiker för att få obehörig åtkomst. Det kan innebära att man utger sig för att vara betrodd personal, utnyttja personliga relationer eller utnyttja allmänt tillgänglig information för att vinna målets förtroende och extrahera känslig information.

Insiderhot: Ibland utgör individer inom en organisation avsiktligt eller oavsiktligt en säkerhetsrisk. Missnöjda anställda, de som motiveras av ekonomisk vinning eller individer med komprometterade referenser kan missbruka sina åtkomstprivilegier för att infiltrera system eller läcka känslig information.

Utnyttja svaga eller felkonfigurerade system: Hotaktörer söker aktivt nätverk efter sårbarheter, såsom oparpad programvara, felkonfigurerade servrar eller svaga lösenord. Genom att identifiera och utnyttja dessa svagheter kan de få obehörig åtkomst till företagets system.

För att försvara sig mot dessa infiltrationsmetoder bör organisationer implementera en omfattande cybersäkerhetsstrategi som inkluderar utbildning av anställda, regelbundna programuppdateringar och patchar, starka åtkomstkontroller, nätverksövervakning, kryptering och incidentresponsplaner.