Gli hacker che utilizzano strumenti nativi di Windows sono riusciti a infettare almeno un appaltatore della difesa statunitense con un nuovo backdoor, che avrebbe potuto aprire la strada per l’implementazione di ulteriori malware o peggio. In un rapporto pubblicato il 6 giugno, i ricercatori di Adlumin hanno soprannominato il backdoor “PowerDrop”, dopo una stringa “DRP” utilizzata nel codice, e perché è basato su Powershell, il doppio shell di comando e linguaggio di scripting.
Come funziona PowerDrop
PowerDrop “cavalca la linea tra ciò che si vede dalle minacce persistenti avanzate (APT) e le cose più basiche dei ‘script kiddie'”, valuta Kevin O’Connor, direttore della ricerca sulle minacce presso Adlumin. “Ha alcune precauzioni di sicurezza uniche per proteggersi, ma in qualche modo le rovina”. Per esempio, per evitare di fare troppo rumore, PowerDrop divide qualsiasi messaggio grande inviato da e verso la macchina target in più messaggi più piccoli. Cripta anche i suoi payload. Per farlo, tuttavia, “usa una chiave statica che non cambia mai, per criptare tutto. E quindi è davvero rilevabile”, dice O’Connor.
L’uso strategico degli strumenti Windows
Gli hacker hanno utilizzato in modo astuto i programmi standard di Windows in una strategia di “vivere della terra” (LotL). Per stabilire la persistenza, l’attacco utilizza l’Interfaccia di Gestione Windows (WMI), un’interfaccia progettata per aiutare gli amministratori di sistema a gestire vari aspetti dei loro ambienti operativi, per registrarsi come un servizio legittimo.
Possibili autori di PowerDrop
Considerando la natura della vittima e del malware, i ricercatori sospettano che i responsabili di PowerDrop possano essere associati a uno stato-nazione. La gravità di ciò è solo aggravata dallo sfondo della guerra in Ucraina e dalle tensioni politiche a Taiwan.