Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
PowerDrop Kötü Amaçlı Yazılımı Basit Ama Gelişmiş
Prajeet Nair (@prajeetspeaks) •
7 Haziran 2023
Şüpheli ulus-devlet bilgisayar korsanları, araştırmacıların söylediğine göre ABD havacılık endüstrisini hedef almak için hazır ve gelişmiş taktikler arasında gidip gelen kötü amaçlı yazılım kullanıyor.
Ayrıca bakınız: Uç Nokta Yönetim Çözümlerinin Fidye Yazılım Riskini Azaltmadaki Kritik Rolü
Adlumin’den araştırmacılar, kötü amaçlı yazılımın, genellikle komut ve kontrol sunucusu için bir tetikleyici olarak hata raporlama için kullanılan ağ düzeyinde bir internet protokolünü kullanan bir PowerShell ve Windows Yönetim Araçları uzaktan erişim aracı olduğunu söylüyor.
Adlumin, PowerDrop’u kopyalar. Şirket araştırmacılarının Salı günkü blog gönderisinde belirttiğine göre, kalıcılık sağlamak için PowerShell veya WMI kullanan ilk kötü amaçlı yazılım değil.
“Tehdidin çekirdek DNA’sı özellikle karmaşık olmasa da, şüpheli faaliyetleri gizleme ve uç nokta savunmaları tarafından tespit edilmekten kaçınma yeteneği, daha karmaşık tehdit aktörlerine benziyor. Adlumin yöneticisi Mark Sangster, bir havacılık yüklenicisini hedef alması yalnızca ulus-devlet saldırganlarının olasılığını doğruluyor” dedi.
Şirket, Mayıs ayında bir ABD havacılık savunma yüklenicisinin ağında bulunan kötü amaçlı yazılımı bulduğunu söyledi. Adlumin araştırmacıları, tehdit aktörünü belirlemedi ancak ulus-devlet saldırganlarından şüpheleniyor.
Kötü amaçlı yazılım, kurbanın sistemindeki değerli bilgileri belirleyebilir ve gerekirse ekran görüntüleri ve sistem bilgilerini bilgisayar korsanlarının komuta ve kontrol sunucusuna göndermek gibi ek işlemler gerçekleştirebilir.
Kötü amaçlı yazılım, kurbanın bilgisayarına ilk erişim elde etmek için kimlik avı e-postası veya arabayla indirme gibi önceden bilinen bir açıktan yararlanma yöntemini kullanıyor olabilir. PowerShell betiği daha sonra WIM tarafından yürütülür.
Kötü amaçlı yazılım, komut ve kontrol sunucusunu tetiklemek ve verileri sızdırmak için İnternet Kontrol Mesajı Protokolü yankı istek mesajlarını kullanır.