PowerDrop-Malware

Die US-amerikanische Luft- und Raumfahrtindustrie ist zum Ziel eines unbekannten böswilligen Akteurs geworden, der eine neu entdeckte PowerShell-basierte Malware namens PowerDrop verwendet. Ein Bericht von Cybersicherheitsforschern zeigt, dass PowerDrop ausgefeilte Methoden einsetzt, um einer Entdeckung zu entgehen, einschließlich Täuschung, Kodierung und Verschlüsselung. Im Mai 2023 wurde entdeckt, dass die Malware in die Systeme eines unbekannten US-amerikanischen Luft- und Raumfahrtverteidigungsunternehmens implantiert war.

Die Bedrohungsfunktionen von PowerDrop gehen über den anfänglichen Zugriff hinaus und ermöglichen die Verwendung der Bedrohung als Post-Exploitation-Tool. Dies bedeutet, dass PowerDrop eingesetzt wird, um wertvolle Informationen von den kompromittierten Systemen zu sammeln, sobald der Angreifer über alternative Methoden Zugang zum Netzwerk eines Opfers erhält. Ihr Hauptziel besteht darin, sensible Daten zu extrahieren und das Netzwerk des Opfers zu überwachen. Details zur Bedrohung wurden von den Infosec-Experten von Adlumin veröffentlicht.

Die PowerDrop-Malware nutzt legitime Prozesse und Systeme aus

Die Malware nutzt Echoanforderungsnachrichten des Internet Control Message Protocol (ICMP), um eine Kommunikation mit einem Command-and-Control-Server (C2) herzustellen. Dadurch kann die Malware ihre böswilligen Aktionen starten.

Beim Empfang der ICMP-Echo-Anforderungsnachricht antwortet der C2-Server mit einem verschlüsselten Befehl, der dann dekodiert und auf dem gefährdeten Host ausgeführt wird. Um die Ergebnisse der ausgeführten Anweisung herauszufiltern, wird eine ähnliche ICMP-Ping-Nachricht verwendet.

Insbesondere wird die Ausführung des PowerShell-Befehls durch die Nutzung des Windows Management Instrumentation (WMI)-Dienstes erleichtert. Diese Wahl deutet darauf hin, dass der Gegner absichtlich eine „Living-off-the-land“-Taktik einsetzt, mit dem Ziel, der Entdeckung zu entgehen, indem er legitime Systemprozesse nutzt.

Auch wenn die Kernstruktur dieser Bedrohung möglicherweise kein von Natur aus komplexes Design aufweist, lässt ihre Fähigkeit, verdächtige Aktivitäten zu verschleiern und der Erkennung durch Endpoint-Sicherheitsmaßnahmen zu entgehen, auf die Beteiligung komplexerer Bedrohungsakteure schließen.

Bedrohungsakteure nutzen mehrere Methoden, um in individuelle und Unternehmensnetzwerke einzudringen

Bedrohungsakteure nutzen verschiedene Methoden und Techniken, um Unternehmenssysteme zu infiltrieren und dabei Schwachstellen und Schwachstellen in der Sicherheitsinfrastruktur des Unternehmens auszunutzen. Diese Infiltrationstechniken können vielfältig und ausgefeilt sein und zielen darauf ab, Abwehrmaßnahmen zu umgehen und sich unbefugten Zugriff auf sensible Informationen zu verschaffen. Einige gängige Methoden sind:

• Phishing und Social Engineering: Bedrohungsakteure können betrügerische Taktiken wie Phishing-E-Mails oder Telefonanrufe anwenden, um Mitarbeiter dazu zu verleiten, vertrauliche Informationen wie Anmeldeinformationen oder persönliche Daten preiszugeben. Social-Engineering-Techniken manipulieren Einzelpersonen, um sich unbefugten Zugriff auf Unternehmenssysteme zu verschaffen.
• Malware und Exploits: Angreifer können Malware der ersten Stufe auf verschiedene Weise in Unternehmenssysteme einschleusen, darunter bösartige E-Mail-Anhänge, infizierte Websites oder kompromittierte Software. Durch die Ausnutzung von Schwachstellen in Software oder Systemen können Bedrohungsakteure unbefugten Zugriff und Kontrolle über kritische Infrastrukturen erlangen.
• Angriffe auf die Lieferkette: Bedrohungsakteure können Drittanbieter oder Lieferanten mit schwächeren Sicherheitsmaßnahmen ins Visier nehmen und Schwachstellen in ihren Systemen ausnutzen, um Zugriff auf das Unternehmensnetzwerk zu erhalten. Sobald sie drinnen sind, können sie sich seitlich bewegen und ihre Privilegien erweitern.
• Brute-Force-Angriffe: Angreifer versuchen möglicherweise, Zugriff auf Unternehmenssysteme zu erhalten, indem sie systematisch zahlreiche Kombinationen von Benutzernamen und Passwörtern ausprobieren, bis sie die richtigen Anmeldeinformationen finden.
• Remote Desktop Protocol (RDP)-Angriffe: Bedrohungsakteure zielen auf offengelegte RDP-Ports ab, um sich unbefugten Zugriff auf Unternehmenssysteme zu verschaffen. Sie können schwache Passwörter oder Schwachstellen in der RDP-Software ausnutzen, um das Netzwerk zu gefährden.
• Zero-Day-Exploits: Zero-Day-Schwachstellen beziehen sich auf unbekannte Software-Schwachstellen, die Bedrohungsakteure entdecken, bevor Entwickler sie beheben können. Angreifer können diese Schwachstellen ausnutzen, um sich unbefugten Zugriff auf Unternehmenssysteme zu verschaffen.

Bedrohungsakteure entwickeln ihre Techniken ständig weiter und wenden neue Methoden an, um in Unternehmenssysteme einzudringen. Daher müssen Unternehmen umfassende Sicherheitsmaßnahmen implementieren, darunter regelmäßige Software-Updates, Mitarbeiterschulungen, Netzwerksegmentierung, Intrusion-Detection-Systeme und robuste Zugangskontrollen, um sich vor diesen Eindringversuchen zu schützen.