Un actor d'amenaces cibernètiques no identificat anteriorment dirigeix la seva atenció cap a la indústria aeroespacial nord-americana mitjançant el desplegament d'un programari maliciós basat en PowerShell recentment descobert anomenat PowerDrop . Aquest programari maliciós avançat utilitza diverses tàctiques enganyoses, tècniques de codificació i xifratge per evitar la detecció. El nom "PowerDrop" deriva de la seva dependència de l'eina de Windows PowerShell i de la cadena "DROP" (DRP) incorporada al seu codi per al farciment.
PowerDrop és una eina de post-explotació dissenyada per recopilar informació confidencial de xarxes compromeses després d'obtenir accés no autoritzat mitjançant mètodes alternatius. Per establir la comunicació amb un servidor d'ordres i control (C2), el programari maliciós utilitza missatges de sol·licitud d'eco del Protocol de missatges de control d'Internet (ICMP) com a balises. Aleshores, el servidor C2 respon amb ordres xifrades descodificades i executades a l'amfitrió compromès. De la mateixa manera, un missatge de ping ICMP pretén exfiltrar els resultats d'aquestes instruccions.
En particular, PowerDrop aprofita el servei d'instrumentació de gestió de Windows (WMI) per executar les ordres de PowerShell, mostrant l'ús que fa l'actor d'amenaces de tècniques de "viure fora de la terra" per evadir la detecció. Tot i que la naturalesa bàsica del programari maliciós pot no ser excepcionalment sofisticada, la seva capacitat per ofuscar activitats sospitoses i eludir les defenses dels punts finals indica la participació d'actors d'amenaça més avançats.
Taula de continguts
Desvetllant les tàctiques de l'atac de programari maliciós furtiu
Els investigadors de seguretat han posat a la llum el programari maliciós recentment descobert mitjançant un sistema avançat de detecció d'aprenentatge automàtic: una tecnologia potent que examina el contingut de les execucions d'scripts de PowerShell, permetent la identificació d'aquesta amenaça esquiva. Tanmateix, malgrat aquest avenç, la cadena d'infecció exacta i el compromís inicial de PowerDrop romanen envoltats de misteri.
Els analistes especulen sobre els mètodes potencials emprats pels atacants per desplegar l'script PowerDrop. Aquests inclouen l'explotació de vulnerabilitats, l'ús de correus electrònics de pesca per apuntar a les víctimes o fins i tot recórrer a la tàctica enganyosa dels llocs de descàrrega de programari falsificats. La via exacta per la qual PowerDrop es va infiltrar en els sistemes encara està per determinar. Per millorar la seva naturalesa encoberta, l'script es codifica amb Base64, cosa que li permet funcionar com a porta posterior o troià d'accés remot (RAT) . Aquesta tècnica sofisticada permet a PowerDrop evadir la detecció i mantenir la persistència en sistemes compromesos.
Aprofundir en els registres del sistema revela informació crucial sobre el modus operandi de PowerDrop. L'anàlisi va revelar que l'script maliciós va utilitzar eficaçment els filtres d'esdeveniments WMI registrats anteriorment i els consumidors amb el distintiu sobrenom "SystemPowerManager". El mateix programari maliciós va crear aquest mecanisme hàbilment camuflat en comprometre el sistema mitjançant l'eina de línia d'ordres "wmic.exe".
La revelació de les característiques úniques de PowerDrop fa llum sobre la sofisticació de les amenaces cibernètiques actuals. Amb la seva capacitat per evadir la detecció i operar de manera encoberta dins de sistemes compromesos, PowerDrop exemplifica l'evolució i l'enginy constant dels actors maliciosos en el panorama digital.
Un actor d'amenaces cibernètiques no identificat anteriorment dirigeix la seva atenció cap a la indústria aeroespacial nord-americana desplegant un programari maliciós basat en PowerShell recentment descobert anomenat PowerDrop. Aquest programari maliciós avançat utilitza diverses tàctiques enganyoses, tècniques de codificació i xifratge per evitar la detecció. El nom "PowerDrop" deriva de la seva dependència de l'eina de Windows PowerShell i de la cadena "DROP" (DRP) incorporada al seu codi per al farciment.
PowerDrop és una eina de post-explotació dissenyada per recopilar informació confidencial de xarxes compromeses després d'obtenir accés no autoritzat mitjançant mètodes alternatius. Per establir la comunicació amb un servidor d'ordres i control (C2), el programari maliciós utilitza missatges de sol·licitud d'eco del Protocol de missatges de control d'Internet (ICMP) com a balises. Aleshores, el servidor C2 respon amb ordres xifrades descodificades i executades a l'amfitrió compromès. De la mateixa manera, un missatge de ping ICMP pretén exfiltrar els resultats d'aquestes instruccions.
En particular, PowerDrop aprofita el servei d'instrumentació de gestió de Windows (WMI) per executar les ordres de PowerShell, mostrant l'ús que fa l'actor d'amenaces de tècniques de "viure fora de la terra" per evadir la detecció. Tot i que la naturalesa bàsica del programari maliciós pot no ser excepcionalment sofisticada, la seva capacitat per ofuscar activitats sospitoses i eludir les defenses dels punts finals indica la participació d'actors d'amenaça més avançats.
Desvetllant les tàctiques de l'atac de programari maliciós furtiu
Els investigadors de seguretat han posat a la llum el programari maliciós recentment descobert mitjançant un sistema avançat de detecció d'aprenentatge automàtic: una tecnologia potent que examina el contingut de les execucions d'scripts de PowerShell, permetent la identificació d'aquesta amenaça esquiva. Tanmateix, malgrat aquest avenç, la cadena d'infecció exacta i el compromís inicial de PowerDrop romanen envoltats de misteri.
Els analistes especulen sobre els mètodes potencials emprats pels atacants per desplegar l'script PowerDrop. Aquests inclouen l'explotació de vulnerabilitats, l'ús de correus electrònics de pesca per apuntar a les víctimes o fins i tot recórrer a la tàctica enganyosa dels llocs de descàrrega de programari falsificats. La via exacta per la qual PowerDrop es va infiltrar en els sistemes encara està per determinar. Per millorar la seva naturalesa encoberta, l'script es codifica amb Base64, cosa que li permet funcionar com a porta posterior o troià d'accés remot (RAT). Aquesta tècnica sofisticada permet a PowerDrop evadir la detecció i mantenir la persistència en sistemes compromesos.
Aprofundir en els registres del sistema revela informació crucial sobre el modus operandi de PowerDrop. L'anàlisi va revelar que l'script maliciós utilitzava eficaçment els filtres d'esdeveniments WMI registrats anteriorment i els consumidors amb el sobrenom diferent "SystemPowerManager". El mateix programari maliciós va crear aquest mecanisme hàbilment camuflat en comprometre el sistema mitjançant l'eina de línia d'ordres "wmic.exe".
La revelació de les característiques úniques de PowerDrop fa llum sobre la sofisticació de les amenaces cibernètiques actuals. Amb la seva capacitat d'evadir la detecció i operar de manera encoberta dins de sistemes compromesos, PowerDrop exemplifica l'evolució i l'enginy constant dels actors maliciosos en el panorama digital.
La indústria aeroespacial dels EUA sota atac: la introducció del nou programari maliciós PowerDrop captures de pantalla
