Remises multi-licences
Threat Database Malware Logiciel malveillant PowerDrop

Logiciel malveillant PowerDrop

Par Mezo en Malware
Se traduisent par :
Français

L'industrie aérospatiale américaine est devenue la cible d'un acteur malveillant non identifié utilisant un logiciel malveillant basé sur PowerShell récemment découvert, connu sous le nom de PowerDrop. Un rapport de chercheurs en cybersécurité révèle que PowerDrop utilise des méthodes sophistiquées pour éviter la détection, y compris la tromperie, l'encodage et le cryptage. En mai 2023, le logiciel malveillant a été découvert implanté dans les systèmes d'un sous-traitant de la défense aérospatiale américaine non divulgué.

Les fonctions menaçantes de PowerDrop vont au-delà de l'accès initial et permettent à la menace de servir d'outil de post-exploitation. Cela signifie qu'une fois que l'attaquant parvient à pénétrer dans le réseau d'une victime par le biais de méthodes alternatives, PowerDrop est déployé pour recueillir des informations précieuses sur les systèmes compromis. Son objectif principal est d'extraire des données sensibles et d'effectuer une surveillance au sein du réseau de la victime. Des détails sur la menace ont été publiés par les experts de la sécurité informatique d'Adlumin.

Le logiciel malveillant PowerDrop tire parti des processus et des systèmes légitimes

Le logiciel malveillant utilise les messages de demande d'écho ICMP (Internet Control Message Protocol) comme moyen d'établir une communication avec un serveur de commande et de contrôle (C2). Cela permet au logiciel malveillant de lancer ses opérations malveillantes.

Lors de la réception du message de demande d'écho ICMP, le serveur C2 répond par une commande cryptée, qui est ensuite décodée et exécutée sur l'hôte compromis. Pour exfiltrer les résultats de l'instruction exécutée, un message ping ICMP similaire est utilisé.

Notamment, l'exécution de la commande PowerShell est facilitée par l'utilisation du service Windows Management Instrumentation (WMI). Ce choix indique l'utilisation délibérée par l'adversaire de tactiques de vivre hors de la terre, visant à échapper à la détection en tirant parti des processus légitimes du système.

Bien que la structure de base de cette menace puisse ne pas posséder une conception intrinsèquement complexe, sa capacité à masquer les activités suspectes et à échapper à la détection par les défenses de sécurité des terminaux suggère l'implication d'acteurs de la menace plus sophistiqués.

Les auteurs de menaces utilisent plusieurs méthodes pour violer les réseaux individuels et d'entreprise

Les auteurs de menaces utilisent diverses méthodes et techniques pour infiltrer les systèmes d'entreprise, exploitant les vulnérabilités et les faiblesses de l'infrastructure de sécurité de l'organisation. Ces techniques d'infiltration peuvent être diverses et sophistiquées, visant à contourner les défenses et à obtenir un accès non autorisé à des informations sensibles. Certaines méthodes courantes incluent :

  • Hameçonnage et ingénierie sociale : les acteurs de la menace peuvent utiliser des tactiques trompeuses, telles que des e-mails ou des appels téléphoniques d'hameçonnage, pour amener les employés à divulguer des informations sensibles, telles que des identifiants de connexion ou des détails personnels. Les techniques d'ingénierie sociale manipulent des individus pour obtenir un accès non autorisé aux systèmes de l'entreprise.
  • Logiciels malveillants et exploits : les attaquants peuvent introduire des logiciels malveillants de première étape dans les systèmes d'entreprise par divers moyens, notamment des pièces jointes malveillantes, des sites Web infectés ou des logiciels compromis. En exploitant les vulnérabilités des logiciels ou des systèmes, les acteurs de la menace peuvent obtenir un accès non autorisé et un contrôle sur l'infrastructure critique.
  • Attaques de la chaîne d'approvisionnement : les acteurs de la menace peuvent cibler des fournisseurs tiers ou des fournisseurs avec des mesures de sécurité plus faibles, exploitant les vulnérabilités de leurs systèmes pour obtenir l'accès au réseau de l'entreprise. Une fois à l'intérieur, ils peuvent se déplacer latéralement et augmenter leurs privilèges.
  • Attaques par force brute : les attaquants peuvent tenter d'accéder aux systèmes de l'entreprise en essayant systématiquement de nombreuses combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'ils découvrent les informations d'identification correctes.
  • Attaques RDP (Remote Desktop Protocol) : les auteurs de menaces ciblent les ports RDP exposés pour obtenir un accès non autorisé aux systèmes de l'entreprise. Ils peuvent exploiter des mots de passe faibles ou des vulnérabilités dans le logiciel RDP pour compromettre le réseau.
  • Exploits Zero-Day : les vulnérabilités Zero-Day font référence à des vulnérabilités logicielles inconnues que les pirates découvrent avant que les développeurs ne puissent les corriger. Les attaquants peuvent exploiter ces vulnérabilités pour obtenir un accès non autorisé aux systèmes de l'entreprise.

Les acteurs de la menace font continuellement évoluer leurs techniques et adoptent de nouvelles méthodes pour infiltrer les systèmes d'entreprise. Par conséquent, les organisations doivent mettre en œuvre des mesures de sécurité complètes, notamment des mises à jour logicielles régulières, la formation des employés, la segmentation du réseau, des systèmes de détection d'intrusion et des contrôles d'accès robustes, pour se protéger contre ces tentatives d'infiltration.

Posts relatifs

Tendance

Le plus regardé

Chargement...