Software malicioso PowerDrop

La industria aeroespacial de EE. UU. se ha convertido en el objetivo de un actor malintencionado no identificado que utiliza un malware basado en PowerShell recientemente descubierto conocido como PowerDrop. Un informe de investigadores de ciberseguridad revela que PowerDrop utiliza métodos sofisticados para evitar la detección, incluidos el engaño, la codificación y el cifrado. En mayo de 2023, se descubrió el malware implantado en los sistemas de un contratista de defensa aeroespacial estadounidense no revelado.

Las funciones amenazantes de PowerDrop van más allá del acceso inicial y permiten que la amenaza sirva como una herramienta posterior a la explotación. Esto significa que una vez que el atacante ingresa a la red de la víctima a través de métodos alternativos, se implementa PowerDrop para recopilar información valiosa de los sistemas comprometidos. Su objetivo principal es extraer datos confidenciales y realizar vigilancia dentro de la red de la víctima. Los expertos en seguridad informática de Adlumin dieron a conocer detalles sobre la amenaza.

El malware PowerDrop se aprovecha de procesos y sistemas legítimos

El malware utiliza mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como un medio para establecer comunicación con un servidor de comando y control (C2). Esto permite que el malware inicie sus operaciones maliciosas.

Al recibir el mensaje de solicitud de eco ICMP, el servidor C2 responde con un comando encriptado, que luego se decodifica y ejecuta en el host comprometido. Para filtrar los resultados de la instrucción ejecutada, se emplea un mensaje de ping ICMP similar.

En particular, la ejecución del comando PowerShell se facilita mediante la utilización del servicio Instrumental de administración de Windows (WMI). Esta elección indica el uso deliberado del adversario de tácticas de vivir de la tierra, con el objetivo de evadir la detección aprovechando los procesos legítimos del sistema.

Aunque es posible que la estructura central de esta amenaza no posea un diseño intrínsecamente complejo, su capacidad para ocultar actividades sospechosas y evadir la detección por parte de las defensas de seguridad de los endpoints sugiere la participación de actores de amenazas más sofisticados.

Los actores de amenazas usan múltiples métodos para violar las redes individuales y corporativas

Los actores de amenazas emplean varios métodos y técnicas para infiltrarse en los sistemas corporativos, explotando vulnerabilidades y debilidades dentro de la infraestructura de seguridad de la organización. Estas técnicas de infiltración pueden ser diversas y sofisticadas, con el objetivo de eludir las defensas y obtener acceso no autorizado a información confidencial. Algunos métodos comunes incluyen:

• Phishing e ingeniería social: los actores de amenazas pueden usar tácticas engañosas, como correos electrónicos de phishing o llamadas telefónicas, para engañar a los empleados para que revelen información confidencial, como credenciales de inicio de sesión o detalles personales. Las técnicas de ingeniería social manipulan a las personas para obtener acceso no autorizado a los sistemas corporativos.
• Malware y exploits: los atacantes pueden introducir malware de primera etapa en los sistemas corporativos a través de varios medios, incluidos archivos adjuntos de correo electrónico maliciosos, sitios web infectados o software comprometido. Al explotar las vulnerabilidades en el software o los sistemas, los actores de amenazas pueden obtener acceso y control no autorizados sobre la infraestructura crítica.
• Ataques a la cadena de suministro: los actores de amenazas pueden apuntar a proveedores externos o proveedores con medidas de seguridad más débiles, explotando vulnerabilidades en sus sistemas para obtener acceso a la red corporativa. Una vez dentro, pueden moverse lateralmente y escalar sus privilegios.
• Ataques de fuerza bruta: los atacantes pueden intentar obtener acceso a los sistemas corporativos probando sistemáticamente numerosas combinaciones de nombres de usuario y contraseñas hasta que descubran las credenciales correctas.
• Ataques de protocolo de escritorio remoto (RDP): los actores de amenazas se dirigen a los puertos RDP expuestos para obtener acceso no autorizado a los sistemas corporativos. Pueden explotar contraseñas débiles o vulnerabilidades en el software RDP para comprometer la red.
• Exploits de día cero: las vulnerabilidades de día cero se refieren a vulnerabilidades de software desconocidas que los actores de amenazas descubren antes de que los desarrolladores puedan parchearlas. Los atacantes pueden explotar estas vulnerabilidades para obtener acceso no autorizado a los sistemas corporativos.

Los actores de amenazas evolucionan continuamente sus técnicas y adoptan nuevos métodos para infiltrarse en los sistemas corporativos. Como resultado, las organizaciones deben implementar medidas de seguridad integrales, incluidas actualizaciones regulares de software, capacitación de empleados, segmentación de redes, sistemas de detección de intrusos y controles de acceso sólidos, para protegerse contra estos intentos de infiltración.