マルチライセンス割引
Threat Database Malware PowerDrop マルウェア

PowerDrop マルウェア

MalwareMezoまで
翻訳内容:
日本語

米国の航空宇宙産業が、新たに発見された PowerDrop として知られる PowerShell ベースのマルウェアを使用する正体不明の悪意のある攻撃者の標的となっています。サイバーセキュリティ研究者らによる報告書では、PowerDrop が欺瞞、エンコード、暗号化などの高度な手法を利用して検出を回避していることが明らかになりました。 2023 年 5 月、非公開の米国航空宇宙防衛請負業者のシステム内にマルウェアが埋め込まれていることが発見されました。

PowerDrop の脅威となる機能は、最初のアクセスを超えて、脅威がエクスプロイト後のツールとして機能することを可能にします。これは、攻撃者が別の方法で被害者のネットワークに侵入すると、PowerDrop が導入され、侵害されたシステムから貴重な情報が収集されることを意味します。その主な目的は、機密データを抽出し、被害者のネットワーク内で監視を行うことです。この脅威の詳細は、Adlumin の情報セキュリティ専門家によって公開されました。

PowerDrop マルウェアは正規のプロセスとシステムを悪用します

このマルウェアは、コマンド アンド コントロール (C2) サーバーとの通信を確立する手段として、インターネット コントロール メッセージ プロトコル (ICMP) エコー要求メッセージを利用します。これにより、マルウェアが悪意のある操作を開始できるようになります。

ICMP エコー要求メッセージを受信すると、C2 サーバーは暗号化されたコマンドで応答し、そのコマンドは侵害されたホスト上でデコードされて実行されます。実行された命令の結果を抽出するために、同様の ICMP ping メッセージが使用されます。

特に、PowerShell コマンドの実行は、Windows Management Instrumentation (WMI) サービスを利用することで容易になります。この選択は、敵が合法的なシステム プロセスを利用して検出を回避することを目的として、土地を離れて生活する戦術を意図的に使用していることを示しています。

この脅威の中核構造は本質的に複雑な設計を持っていない可能性がありますが、疑わしいアクティビティを隠蔽し、エンドポイント セキュリティ防御による検出を回避するその能力は、より高度な攻撃者の関与を示唆しています。

脅威アクターは複数の方法を使用して個人および企業のネットワークに侵入します

脅威アクターはさまざまな方法やテクニックを使用して企業システムに侵入し、組織のセキュリティ インフラストラクチャ内の脆弱性や弱点を悪用します。これらの侵入手法は多様かつ洗練されており、防御を回避して機密情報に不正にアクセスすることを目的としています。一般的な方法には次のようなものがあります。

  • フィッシングとソーシャル エンジニアリング:攻撃者は、フィッシング メールや電話などの欺瞞的な戦術を使用して、従業員をだましてログイン資格情報や個人情報などの機密情報を漏らすことがあります。ソーシャル エンジニアリング技術は、個人を操作して企業システムに不正にアクセスできるようにします。
  • マルウェアとエクスプロイト:攻撃者は、悪意のある電子メールの添付ファイル、感染した Web サイト、侵害されたソフトウェアなど、さまざまな手段を通じて企業システムに第 1 段階のマルウェアを導入する可能性があります。ソフトウェアやシステムの脆弱性を悪用することで、攻撃者は不正なアクセスを取得し、重要なインフラストラクチャを制御できるようになります。
  • サプライ チェーン攻撃:脅威アクターは、セキュリティ対策が弱いサードパーティ ベンダーやサプライヤーをターゲットにし、システムの脆弱性を悪用して企業ネットワークへのアクセスを取得する可能性があります。内部に入ると、横方向に移動して権限を昇格させることができます。
  • ブルートフォース攻撃:攻撃者は、正しい資格情報が見つかるまでユーザー名とパスワードの多数の組み合わせを系統的に試し、企業システムへのアクセスを試みる可能性があります。
  • リモート デスクトップ プロトコル (RDP) 攻撃:脅威アクターは、公開された RDP ポートをターゲットにして、企業システムへの不正アクセスを取得します。脆弱なパスワードや RDP ソフトウェアの脆弱性を悪用してネットワークを侵害する可能性があります。
  • ゼロデイエクスプロイト:ゼロデイ脆弱性とは、開発者がパッチを適用する前に脅威アクターが発見する未知のソフトウェアの脆弱性を指します。攻撃者はこれらの脆弱性を悪用して企業システムに不正アクセスする可能性があります。

脅威アクターは継続的に技術を進化させ、企業システムに侵入するための新しい方法を採用しています。そのため、組織はこれらの侵入の試みから保護するために、定期的なソフトウェアの更新、従業員のトレーニング、ネットワークのセグメンテーション、侵入検知システム、堅牢なアクセス制御などの包括的なセキュリティ対策を実装する必要があります。

関連記事

攻撃にさらされる米国の航空宇宙産業: 新しい PowerDrop マルウェアの導入スクリーンショット

攻撃にさらされる米国の航空宇宙産業: 新しい PowerDrop マルウェアの導入

Computer Security
これまで正体不明のサイバー脅威攻撃者は、新たに発見されたPowerDropと呼ばれる PowerShell ベースのマルウェアを展開することで、米国の航空宇宙産業に注意を向けています。この高度なマルウェアは、さまざまな欺瞞戦術、エンコード技術、および暗号化を利用して検出を回避します。 「PowerDrop」という名前は、Windows PowerShell ツールへの依存と、パディングのため...

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...