“PowerDrop” PowerShell Malware Targets US Aerospace Industry
2023/06/07 InfoSecurity — PowerDrop と命名された、新たな PowerShell マルウェア・スクリプトが、米国の航空宇宙防衛産業を標的とした攻撃で使用されていることが判った。このマルウェアのサンプルは、防衛請負業者のネットワークにおいて、Adlumin のセキュリティ研究者たちにより5月に発見された。6月6日に Adlumin の研究チームは、「このマルウェアは、基本的な既製の脅威を用い、また、APT (Advanced Persistent Threat) グループの戦術も用いている。また PowerDrop は、偽装/暗号化/復号化エなどの、高度な検出回避機能を搭載している」と、PowerDrop に関するアドバイザリで発表している。
Tanium の Endpoint Security Research Specialist である James Lively は、「PowerDrop のコードはカスタムなものに見え、ステルス性を確保して、検出を回避するように設計されている。WMI を介して実行され、ディスク上には存在せず、通信とデータ流出において特殊な方法を使用しており、既製のものとは思えない。PowerDrop の機能と実装を分析し、航空宇宙産業に対する攻撃方法に分析すると、APT (Advanced Persistent Threat) 活動が示唆される」と述べている。
Coalfire の Vice President である Andrew Barratt は、「この脅威アクターが PowerShell を利用する理由は、その幅広い機能にある。また、一般的に使用されている、コンピューティング環境の既存のインフラを活用することで、検知を回避するという側面もある」と付け加えている。
さらに Barratt は、「このマルウェアは、Eメールや USB を介して、作業環境に容易にドロップできる。また、攻撃の前提として、高度なゼロデイ脆弱性効力を必要としないため、有用な手口だと言える。米国と同盟国の主要な兵器システムのメーカーは、この活動に対する警戒を強め、サプライチェーンを厳重に監視する必要がある」と警告している。
また Adlumin は、「PowerDrop の背後にいる脅威アクターは特定されていないが、国家に支援されたハッカーが関与している可能性があると推測している」と、アドバイザリで述べている。
Ontinue の VP of Security Operations である Craig Jones は、「この脅威アクターの帰属を明確にできないことで、PowerDrop を取り巻く謎が深まっている」と述べている。現時点において、ウクライナで進行中の紛争と、航空宇宙およびミサイルプログラムの強化が進んでいることもあり、国家に支援された敵対者に疑いの目が向けられている」と述べている。
Adlumin は、航空宇宙防衛産業の従業員たちに対して、最近のマルウェアへの警戒状態を維持するよう警告している。特に、Windows システムの脆弱性スキャンを実施し、自社のネットワークから外部へ発信される、異常な Ping の動きに注意することが必要だとしている。
米国の航空宇宙防衛産業が標的にされているようですが、これが初めてというわけではありません。最近では、2023/04/24 の「米国の軍艦造船業者 Fincantieri Marine Group でランサムウェア攻撃が発生」や、2023/05/23 の「ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃:BlackBasta が犯行を主張」といった記事がありました。よろしければ、カテゴリ Defence も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.