En tidligere uidentifisert nettrusselsaktør retter oppmerksomheten mot den amerikanske romfartsindustrien ved å distribuere en nylig oppdaget PowerShell-basert skadelig programvare kalt PowerDrop . Denne avanserte skadelige programvaren bruker forskjellige villedende taktikker, kodingsteknikker og kryptering for å unngå oppdagelse. Navnet "PowerDrop" stammer fra dets avhengighet av Windows PowerShell-verktøyet og "DROP" (DRP)-strengen innlemmet i koden for utfylling.
PowerDrop er et post-utnyttelsesverktøy designet for å samle sensitiv informasjon fra kompromitterte nettverk etter å ha fått uautorisert tilgang gjennom alternative metoder. For å avgjøre kommunikasjon med en Command-and-Control-server (C2), bruker skadevareprogrammet Internet Control Message Protocol (ICMP) ekkoforespørselsmeldinger som beacons. C2-serveren svarer deretter med krypterte kommandoer dekodet og utført på den kompromitterte verten. På samme måte har en ICMP-ping-melding som mål å eksfiltrere resultatene av disse instruksjonene.
Spesielt bruker PowerDrop Windows Management Instrumentation-tjenesten (WMI) for å utføre PowerShell-kommandoene, og viser trusselaktørens bruk av "living-off-the-land"-teknikker for å unngå oppdagelse. Selv om kjernenaturen til skadevaren kanskje ikke er eksepsjonelt sofistikert, indikerer dens evne til å skjule mistenkelige aktiviteter og unngå endepunktforsvar involvering av mer avanserte trusselaktører.
Innholdsfortegnelse
Avduking av taktikken til det skjulte skadeligvareangrepet
Den nylig oppdagede skadevare har blitt brakt frem av sikkerhetsforskere via et avansert maskinlæringsdeteksjonssystem – kraftig teknologi som gransker innholdet i PowerShell-skriptkjøringer, og muliggjør identifisering av denne unnvikende trusselen. Til tross for dette gjennombruddet, forblir den nøyaktige infeksjonskjeden og det første kompromisset til PowerDrop omhyllet i mystikk.
Analytikere spekulerer i de potensielle metodene angriperne har brukt for å distribuere PowerDrop-skriptet. Disse inkluderer utnyttelse av sårbarheter, bruk av phishing-e-poster for å målrette mot ofre, eller til og med å ty til den villedende taktikken til nettsteder for forfalsket programvarenedlasting. Den nøyaktige veien PowerDrop infiltrerte systemer gjennom, er ennå ikke bestemt. For å forbedre dens skjulte natur, er skriptet kodet ved hjelp av Base64, slik at det kan fungere som en bakdør eller Remote Access Trojan (RAT) . Denne sofistikerte teknikken gjør det mulig for PowerDrop å unngå deteksjon og opprettholde utholdenhet innenfor kompromitterte systemer.
Å dykke ned i systemloggene avdekker viktig innsikt i PowerDrops modus operandi. Analysen avslørte at det ondsinnede skriptet effektivt brukte tidligere registrerte WMI-hendelsesfiltre og forbrukere med det distinkte navnet 'SystemPowerManager'. Skadevaren i seg selv skapte denne smart kamuflerte mekanismen ved å kompromittere systemet ved å bruke kommandolinjeverktøyet 'wmic.exe'.
Avsløringen av PowerDrops unike egenskaper kaster lys over det sofistikerte i moderne cybertrusler. Med sin evne til å unngå oppdagelse og operere skjult innenfor kompromitterte systemer, eksemplifiserer PowerDrop ondsinnede aktørers konstante utvikling og oppfinnsomhet i det digitale landskapet.
En tidligere uidentifisert nettrusselsaktør retter oppmerksomheten mot den amerikanske romfartsindustrien ved å distribuere en nyoppdaget PowerShell-basert skadelig programvare kalt PowerDrop. Denne avanserte skadelige programvaren bruker forskjellige villedende taktikker, kodingsteknikker og kryptering for å unngå oppdagelse. Navnet "PowerDrop" stammer fra dets avhengighet av Windows PowerShell-verktøyet og "DROP" (DRP)-strengen innlemmet i koden for utfylling.
PowerDrop er et post-utnyttelsesverktøy designet for å samle sensitiv informasjon fra kompromitterte nettverk etter å ha fått uautorisert tilgang gjennom alternative metoder. For å avgjøre kommunikasjon med en Command-and-Control-server (C2), bruker skadevareprogrammet Internet Control Message Protocol (ICMP) ekkoforespørselsmeldinger som beacons. C2-serveren svarer deretter med krypterte kommandoer dekodet og utført på den kompromitterte verten. På samme måte har en ICMP-ping-melding som mål å eksfiltrere resultatene av disse instruksjonene.
Spesielt bruker PowerDrop Windows Management Instrumentation (WMI)-tjenesten for å utføre PowerShell-kommandoene, og viser trusselaktørens bruk av "living-off-the-land"-teknikker for å unngå oppdagelse. Selv om kjernenaturen til skadevaren kanskje ikke er eksepsjonelt sofistikert, indikerer dens evne til å skjule mistenkelige aktiviteter og unngå endepunktforsvar involvering av mer avanserte trusselaktører.
Avduking av taktikken til det skjulte skadeligvareangrepet
Den nylig oppdagede skadevare har blitt brakt frem av sikkerhetsforskere via et avansert maskinlæringsdeteksjonssystem – kraftig teknologi som gransker innholdet i PowerShell-skriptkjøringer, og muliggjør identifisering av denne unnvikende trusselen. Til tross for dette gjennombruddet, forblir den nøyaktige infeksjonskjeden og det første kompromisset til PowerDrop omhyllet i mystikk.
Analytikere spekulerer i de potensielle metodene angriperne har brukt for å distribuere PowerDrop-skriptet. Disse inkluderer utnyttelse av sårbarheter, bruk av phishing-e-poster for å målrette mot ofre, eller til og med å ty til den villedende taktikken til nettsteder for forfalsket programvarenedlasting. Den nøyaktige veien PowerDrop infiltrerte systemer gjennom, er ennå ikke bestemt. For å forbedre dens skjulte natur, er skriptet kodet ved hjelp av Base64, slik at det kan fungere som en bakdør eller Remote Access Trojan (RAT). Denne sofistikerte teknikken gjør det mulig for PowerDrop å unngå deteksjon og opprettholde utholdenhet innenfor kompromitterte systemer.
Å dykke ned i systemloggene avdekker viktig innsikt i PowerDrops modus operandi. Analysen avslørte at det ondsinnede skriptet effektivt brukte tidligere registrerte WMI-hendelsesfiltre og forbrukere med det distinkte navnet 'SystemPowerManager'. Skadevaren i seg selv skapte denne smart kamuflerte mekanismen ved å kompromittere systemet ved å bruke kommandolinjeverktøyet 'wmic.exe'.
Avsløringen av PowerDrops unike egenskaper kaster lys over det sofistikerte i moderne cybertrusler. Med sin evne til å unngå oppdagelse og operere skjult innenfor kompromitterte systemer, eksemplifiserer PowerDrop ondsinnede aktørers konstante utvikling og oppfinnsomhet i det digitale landskapet.
US Aerospace Industry Under Attack: The Introduction of New PowerDrop Malware skjermbilder
