Досега неидентифициран участник в кибернетична заплаха насочва вниманието им към аерокосмическата индустрия на САЩ чрез внедряване на новооткрит злонамерен софтуер, базиран на PowerShell, наречен PowerDrop . Този усъвършенстван злонамерен софтуер използва различни измамни тактики, техники за кодиране и криптиране, за да избегне откриването. Името "PowerDrop" произлиза от зависимостта му от инструмента Windows PowerShell и низа "DROP" (DRP), включен в неговия код за подпълване.
PowerDrop е инструмент след експлоатация, предназначен да събира чувствителна информация от компрометирани мрежи след получаване на неоторизиран достъп чрез алтернативни методи. За да установи комуникация със сървър за командване и управление (C2), злонамереният софтуер използва съобщения за ехо заявка на протокола за контролни съобщения в Интернет (ICMP) като маяци. След това C2 сървърът отговаря с криптирани команди, декодирани и изпълнени на компрометирания хост. По същия начин, ICMP ping съобщение има за цел да извлече резултатите от тези инструкции.
За отбелязване е, че PowerDrop използва услугата Windows Management Instrumentation (WMI), за да изпълни командите на PowerShell, демонстрирайки използването на заплахата на техники за „живеене извън земята“, за да избегне откриването. Въпреки че основната природа на злонамерения софтуер може да не е изключително сложна, способността му да прикрива подозрителни дейности и да избягва защитата на крайната точка показва участието на по-напреднали участници в заплахата.
Съдържание
Разкриване на тактиката на скрити злонамерени атаки
Наскоро откритият злонамерен софтуер беше изваден на бял свят от изследователи по сигурността чрез усъвършенствана система за откриване на машинно обучение – мощна технология, която проверява внимателно съдържанието на изпълненията на PowerShell скриптове, позволявайки идентифицирането на тази неуловима заплаха. Въпреки този пробив обаче точната верига на заразяване и първоначалният компромет на PowerDrop остават забулени в мистерия.
Анализаторите спекулират относно потенциалните методи, използвани от нападателите за внедряване на скрипта PowerDrop. Те включват използване на уязвимости, използване на фишинг имейли за насочване към жертви или дори прибягване до измамната тактика на сайтове за изтегляне на фалшив софтуер. Точният път, по който PowerDrop е проникнал в системите, все още предстои да бъде определен. За да се подобри неговия скрит характер, скриптът е кодиран с помощта на Base64, което му позволява да функционира като задна врата или троянски кон за отдалечен достъп (RAT) . Тази усъвършенствана техника позволява на PowerDrop да избегне откриването и да поддържа устойчивост в компрометирани системи.
Ровенето в системните регистрационни файлове разкрива важни прозрения за начина на действие на PowerDrop. Анализът разкрива, че злонамереният скрипт ефективно е използвал предварително регистрирани WMI филтри за събития и потребители с ясното име „SystemPowerManager“. Самият злонамерен софтуер създаде този умело замаскиран механизъм при компрометиране на системата с помощта на инструмента от командния ред „wmic.exe“.
Разкриването на уникалните характеристики на PowerDrop хвърля светлина върху сложността на съвременните киберзаплахи. Със способността си да избягва откриването и да работи скрито в компрометирани системи, PowerDrop е пример за постоянната еволюция и изобретателност на злонамерените участници в дигиталната среда.
Досега неидентифициран участник в кибернетична заплаха насочва вниманието им към аерокосмическата индустрия на САЩ чрез внедряване на новооткрит злонамерен софтуер, базиран на PowerShell, наречен PowerDrop. Този усъвършенстван злонамерен софтуер използва различни измамни тактики, техники за кодиране и криптиране, за да избегне откриването. Името "PowerDrop" произлиза от зависимостта му от инструмента Windows PowerShell и низа "DROP" (DRP), включен в неговия код за подпълване.
PowerDrop е инструмент след експлоатация, предназначен да събира чувствителна информация от компрометирани мрежи след получаване на неоторизиран достъп чрез алтернативни методи. За да установи комуникация със сървър за командване и управление (C2), злонамереният софтуер използва съобщения за ехо заявка на протокола за контролни съобщения в Интернет (ICMP) като маяци. След това C2 сървърът отговаря с криптирани команди, декодирани и изпълнени на компрометирания хост. По същия начин, ICMP ping съобщение има за цел да извлече резултатите от тези инструкции.
За отбелязване е, че PowerDrop използва услугата Windows Management Instrumentation (WMI), за да изпълни командите на PowerShell, демонстрирайки използването на заплахата на техники за „живеене извън земята“, за да избегне откриването. Въпреки че основната природа на злонамерения софтуер може да не е изключително сложна, способността му да прикрива подозрителни дейности и да избягва защитата на крайната точка показва участието на по-напреднали участници в заплахата.
Разкриване на тактиката на скрити злонамерени атаки
Наскоро откритият злонамерен софтуер беше изваден на бял свят от изследователи по сигурността чрез усъвършенствана система за откриване на машинно обучение – мощна технология, която проверява внимателно съдържанието на изпълненията на PowerShell скриптове, позволявайки идентифицирането на тази неуловима заплаха. Въпреки този пробив обаче точната верига на заразяване и първоначалният компромет на PowerDrop остават забулени в мистерия.
Анализаторите спекулират относно потенциалните методи, използвани от нападателите за внедряване на скрипта PowerDrop. Те включват използване на уязвимости, използване на фишинг имейли за насочване към жертви или дори прибягване до измамната тактика на сайтове за изтегляне на фалшив софтуер. Точният път, по който PowerDrop е проникнал в системите, все още предстои да бъде определен. За да се подобри неговата скрита природа, скриптът е кодиран с помощта на Base64, което му позволява да функционира като задна врата или троянски кон за отдалечен достъп (RAT). Тази усъвършенствана техника позволява на PowerDrop да избегне откриването и да поддържа устойчивост в компрометирани системи.
Ровенето в системните регистрационни файлове разкрива важни прозрения за начина на действие на PowerDrop. Анализът разкрива, че злонамереният скрипт ефективно е използвал предварително регистрирани WMI филтри за събития и потребители с ясното име „SystemPowerManager“. Самият злонамерен софтуер създаде този умело замаскиран механизъм при компрометиране на системата с помощта на инструмента от командния ред „wmic.exe“.
Разкриването на уникалните характеристики на PowerDrop хвърля светлина върху сложността на съвременните киберзаплахи. Със способността си да избягва откриването и да работи скрито в компрометирани системи, PowerDrop е пример за постоянната еволюция и изобретателност на злонамерените участници в цифровия пейзаж.
Аерокосмическата индустрия на САЩ под атака: Представянето на нов зловреден софтуер PowerDrop екранни снимки
