توجه جهة فاعلة في مجال التهديد السيبراني لم يتم تحديدها سابقًا انتباهها نحو صناعة الطيران الأمريكية من خلال نشر برنامج ضار تم اكتشافه حديثًا يستند إلى PowerShell يسمى PowerDrop . تستخدم هذه البرامج الضارة المتقدمة العديد من الأساليب المخادعة وتقنيات التشفير والتشفير لتجنب الاكتشاف. اسم "PowerDrop" مشتق من اعتماده على أداة Windows PowerShell وسلسلة "DROP" (DRP) المدمجة في كودها الخاص بالحشو.
PowerDrop هي أداة ما بعد الاستغلال مصممة لجمع معلومات حساسة من الشبكات المخترقة بعد الحصول على وصول غير مصرح به من خلال طرق بديلة. لتسوية الاتصال بخادم الأوامر والتحكم (C2) ، يستخدم البرنامج الضار رسائل طلب صدى بروتوكول رسائل التحكم في الإنترنت (ICMP) كمنارات. يستجيب خادم C2 بعد ذلك بأوامر مشفرة يتم فك تشفيرها وتنفيذها على المضيف المخترق. وبالمثل ، تهدف رسالة اختبار اتصال ICMP إلى إخراج نتائج هذه التعليمات.
وتجدر الإشارة إلى أن PowerDrop يستفيد من خدمة Windows Management Instrumentation (WMI) لتنفيذ أوامر PowerShell ، مما يعرض استخدام الفاعل للتهديد لتقنيات "العيش خارج الأرض" لتجنب الاكتشاف. في حين أن الطبيعة الأساسية للبرامج الضارة قد لا تكون معقدة بشكل استثنائي ، إلا أن قدرتها على التعتيم على الأنشطة المشبوهة والتهرب من دفاعات نقطة النهاية تشير إلى تورط جهات تهديد أكثر تقدمًا.
جدول المحتويات
الكشف عن تكتيكات هجوم البرمجيات الخفية الخفية
تم الكشف عن البرامج الضارة المكتشفة مؤخرًا من قبل باحثين أمنيين عبر نظام متقدم للكشف عن التعلم الآلي - تقنية قوية تدقق في محتوى عمليات تنفيذ نصوص PowerShell ، مما يتيح تحديد هذا التهديد بعيد المنال. ومع ذلك ، على الرغم من هذا الاختراق ، لا تزال سلسلة العدوى الدقيقة والتسوية الأولية لبرنامج PowerDrop يكتنفها الغموض.
يتوقع المحللون الأساليب المحتملة التي يستخدمها المهاجمون لنشر برنامج PowerDrop النصي. يتضمن ذلك استغلال نقاط الضعف ، واستخدام رسائل البريد الإلكتروني المخادعة لاستهداف الضحايا ، أو حتى اللجوء إلى التكتيكات الخادعة لمواقع تنزيل البرامج المخادعة. لم يتم بعد تحديد المسار الدقيق الذي تم من خلاله اختراق أنظمة PowerDrop. لتعزيز طبيعتها السرية ، يتم تشفير البرنامج النصي باستخدام Base64 ، مما يسمح له بالعمل كباب خلفي أو حصان طروادة للوصول عن بُعد (RAT) . تمكن هذه التقنية المتطورة PowerDrop من تجنب الاكتشاف والحفاظ على الثبات داخل الأنظمة المخترقة.
يكشف الخوض في سجلات النظام عن رؤى مهمة حول طريقة عمل PowerDrop. كشف التحليل أن البرنامج النصي الضار استخدم بفعالية عوامل تصفية أحداث WMI المسجلة سابقًا والمستهلكين باستخدام اللقب المميز "SystemPowerManager". أنشأت البرامج الضارة نفسها هذه الآلية المموهة بذكاء عند اختراق النظام باستخدام أداة سطر الأوامر "wmic.exe".
يلقي الكشف عن الخصائص الفريدة لبرنامج PowerDrop الضوء على تطور التهديدات الإلكترونية الحديثة. من خلال قدرته على التهرب من الاكتشاف والعمل سراً داخل الأنظمة المخترقة ، يجسد PowerDrop التطور المستمر والبراعة للجهات الفاعلة الخبيثة في المشهد الرقمي.
توجه جهة فاعلة في مجال التهديد السيبراني لم يتم تحديدها سابقًا انتباهها نحو صناعة الطيران الأمريكية من خلال نشر برنامج ضار تم اكتشافه حديثًا يستند إلى PowerShell يسمى PowerDrop. تستخدم هذه البرامج الضارة المتقدمة العديد من الأساليب المخادعة وتقنيات التشفير والتشفير لتجنب الاكتشاف. اسم "PowerDrop" مشتق من اعتماده على أداة Windows PowerShell وسلسلة "DROP" (DRP) المدمجة في كودها الخاص بالحشو.
PowerDrop هي أداة ما بعد الاستغلال مصممة لجمع معلومات حساسة من الشبكات المخترقة بعد الحصول على وصول غير مصرح به من خلال طرق بديلة. لتسوية الاتصال بخادم الأوامر والتحكم (C2) ، يستخدم البرنامج الضار رسائل طلب صدى بروتوكول رسائل التحكم في الإنترنت (ICMP) كمنارات. يستجيب خادم C2 بعد ذلك بأوامر مشفرة يتم فك تشفيرها وتنفيذها على المضيف المخترق. وبالمثل ، تهدف رسالة اختبار اتصال ICMP إلى إخراج نتائج هذه التعليمات.
وتجدر الإشارة إلى أن PowerDrop يستفيد من خدمة Windows Management Instrumentation (WMI) لتنفيذ أوامر PowerShell ، مما يعرض استخدام الفاعل للتهديد لتقنيات "العيش خارج الأرض" لتجنب الاكتشاف. في حين أن الطبيعة الأساسية للبرامج الضارة قد لا تكون معقدة بشكل استثنائي ، إلا أن قدرتها على التعتيم على الأنشطة المشبوهة والتهرب من دفاعات نقطة النهاية تشير إلى تورط جهات تهديد أكثر تقدمًا.
الكشف عن تكتيكات هجوم البرمجيات الخفية الخفية
تم الكشف عن البرامج الضارة المكتشفة مؤخرًا من قبل باحثين أمنيين عبر نظام متقدم للكشف عن التعلم الآلي - تقنية قوية تدقق في محتوى عمليات تنفيذ نصوص PowerShell ، مما يتيح تحديد هذا التهديد بعيد المنال. ومع ذلك ، على الرغم من هذا الاختراق ، لا تزال سلسلة العدوى الدقيقة والتسوية الأولية لبرنامج PowerDrop يكتنفها الغموض.
يتوقع المحللون الأساليب المحتملة التي يستخدمها المهاجمون لنشر برنامج PowerDrop النصي. يتضمن ذلك استغلال نقاط الضعف ، واستخدام رسائل البريد الإلكتروني المخادعة لاستهداف الضحايا ، أو حتى اللجوء إلى التكتيكات الخادعة لمواقع تنزيل البرامج المخادعة. لم يتم بعد تحديد المسار الدقيق الذي تم من خلاله اختراق أنظمة PowerDrop. لتعزيز طبيعتها السرية ، يتم تشفير البرنامج النصي باستخدام Base64 ، مما يسمح له بالعمل كباب خلفي أو حصان طروادة للوصول عن بُعد (RAT). تمكن هذه التقنية المتطورة PowerDrop من تجنب الاكتشاف والحفاظ على الثبات داخل الأنظمة المخترقة.
يكشف الخوض في سجلات النظام عن رؤى مهمة حول طريقة عمل PowerDrop. كشف التحليل أن البرنامج النصي الضار استخدم بفعالية عوامل تصفية أحداث WMI المسجلة سابقًا والمستهلكين باستخدام اللقب المميز "SystemPowerManager". أنشأت البرامج الضارة نفسها هذه الآلية المموهة بذكاء عند اختراق النظام باستخدام أداة سطر الأوامر "wmic.exe".
يلقي الكشف عن الخصائص الفريدة لبرنامج PowerDrop الضوء على تطور التهديدات الإلكترونية الحديثة. من خلال قدرته على التهرب من الاكتشاف والعمل سراً داخل الأنظمة المخترقة ، يجسد PowerDrop التطور المستمر والبراعة للجهات الفاعلة الخبيثة في المشهد الرقمي.
صناعة الطيران الأمريكية تتعرض للهجوم: إدخال برنامج ضار جديد PowerDrop لقطة
