Dříve neidentifikovaný aktér kybernetických hrozeb zaměřuje jejich pozornost na americký letecký průmysl nasazením nově objeveného malwaru PowerShell nazvaného PowerDrop . Tento pokročilý malware využívá různé klamavé taktiky, techniky kódování a šifrování, aby se zabránilo odhalení. Název "PowerDrop" pochází z jeho spoléhání na nástroj Windows PowerShell a řetězec "DROP" (DRP) začleněný do jeho kódu pro odsazení.
PowerDrop je post-exploitační nástroj určený ke shromažďování citlivých informací z kompromitovaných sítí po získání neoprávněného přístupu prostřednictvím alternativních metod. K urovnání komunikace se serverem Command-and-Control (C2) používá malware jako majáky zprávy s echo protokolu ICMP (Internet Control Message Protocol). Server C2 poté odpoví zašifrovanými příkazy dekódovanými a provedenými na kompromitovaném hostiteli. Podobně ICMP zpráva ping má za cíl exfiltrovat výsledky těchto instrukcí.
PowerDrop zejména využívá službu Windows Management Instrumentation (WMI) ke spouštění příkazů PowerShell, což ukazuje, jak aktér hrozby používá techniky „live-off-the-land“, aby se vyhnul detekci. I když základní povaha malwaru nemusí být výjimečně sofistikovaná, jeho schopnost zatemňovat podezřelé aktivity a vyhýbat se obraně koncových bodů naznačuje zapojení pokročilejších aktérů hrozeb.
Obsah
Odhalení taktiky tajného malwarového útoku
Nedávno objevený malware byl odhalen bezpečnostními výzkumníky prostřednictvím pokročilého detekčního systému strojového učení – výkonné technologie, která zkoumá obsah spouštění skriptů PowerShell a umožňuje identifikaci této nepolapitelné hrozby. Přes tento průlom však zůstává přesný infekční řetězec a počáteční kompromis PowerDrop zahalen tajemstvím.
Analytici spekulují o potenciálních metodách, které útočníci používají k nasazení skriptu PowerDrop. Patří mezi ně zneužívání zranitelných míst, využívání phishingových e-mailů k cílení na oběti nebo dokonce uchýlení se ke klamavé taktice falešných stránek pro stahování softwaru. Přesný způsob, kterým PowerDrop infiltroval systémy, ještě není určen. Aby se zlepšila jeho skrytá povaha, je skript zakódován pomocí Base64, což mu umožňuje fungovat jako backdoor nebo jako trojan pro vzdálený přístup (RAT) . Tato sofistikovaná technika umožňuje PowerDropu vyhnout se detekci a udržovat stálost v kompromitovaných systémech.
Ponoření se do systémových protokolů odhaluje zásadní poznatky o modu operandi PowerDrop. Analýza odhalila, že škodlivý skript efektivně využíval dříve registrované filtry událostí WMI a spotřebitele s odlišnou přezdívkou „SystemPowerManager“. Malware sám vytvořil tento chytře maskovaný mechanismus při kompromitaci systému pomocí nástroje příkazového řádku „wmic.exe“.
Odhalení jedinečných vlastností PowerDrop vrhá světlo na sofistikovanost moderních kybernetických hrozeb. Díky své schopnosti vyhýbat se detekci a pracovat skrytě v kompromitovaných systémech je PowerDrop příkladem neustálého vývoje a vynalézavosti zlomyslných herců v digitální krajině.
Dříve neidentifikovaný aktér kybernetické hrozby zaměřuje jejich pozornost na americký letecký průmysl nasazením nově objeveného malwaru PowerShell nazvaného PowerDrop. Tento pokročilý malware využívá různé klamavé taktiky, techniky kódování a šifrování, aby se zabránilo odhalení. Název "PowerDrop" pochází z jeho spoléhání na nástroj Windows PowerShell a řetězec "DROP" (DRP) začleněný do jeho kódu pro odsazení.
PowerDrop je post-exploitační nástroj určený ke shromažďování citlivých informací z kompromitovaných sítí po získání neoprávněného přístupu prostřednictvím alternativních metod. K urovnání komunikace se serverem Command-and-Control (C2) používá malware jako majáky zprávy s echo protokolu ICMP (Internet Control Message Protocol). Server C2 poté odpoví zašifrovanými příkazy dekódovanými a provedenými na kompromitovaném hostiteli. Podobně ICMP zpráva ping má za cíl exfiltrovat výsledky těchto instrukcí.
PowerDrop zejména využívá službu Windows Management Instrumentation (WMI) ke spouštění příkazů PowerShell, což ukazuje, jak aktér hrozby používá techniky „live-off-the-land“, aby se vyhnul detekci. I když základní povaha malwaru nemusí být výjimečně sofistikovaná, jeho schopnost zatemňovat podezřelé aktivity a vyhýbat se obraně koncových bodů naznačuje zapojení pokročilejších aktérů hrozeb.
Odhalení taktiky kradmého malwarového útoku
Nedávno objevený malware byl odhalen bezpečnostními výzkumníky prostřednictvím pokročilého detekčního systému strojového učení – výkonné technologie, která zkoumá obsah spouštění skriptů PowerShell a umožňuje identifikaci této nepolapitelné hrozby. Přes tento průlom však zůstává přesný infekční řetězec a počáteční kompromis PowerDrop zahalen tajemstvím.
Analytici spekulují o potenciálních metodách, které útočníci používají k nasazení skriptu PowerDrop. Patří mezi ně zneužívání zranitelných míst, využívání phishingových e-mailů k cílení na oběti nebo dokonce uchýlení se ke klamavé taktice falešných stránek pro stahování softwaru. Přesný způsob, kterým PowerDrop infiltroval systémy, ještě není určen. Pro vylepšení jeho skryté povahy je skript zakódován pomocí Base64, což mu umožňuje fungovat jako backdoor nebo jako trojan pro vzdálený přístup (RAT). Tato sofistikovaná technika umožňuje PowerDropu vyhnout se detekci a udržovat stálost v kompromitovaných systémech.
Ponoření se do systémových protokolů odhaluje zásadní poznatky o modu operandi PowerDrop. Analýza odhalila, že škodlivý skript efektivně využíval dříve registrované filtry událostí WMI a spotřebitele s odlišnou přezdívkou „SystemPowerManager“. Malware sám vytvořil tento chytře maskovaný mechanismus při kompromitaci systému pomocí nástroje příkazového řádku „wmic.exe“.
Odhalení jedinečných vlastností PowerDrop vrhá světlo na sofistikovanost moderních kybernetických hrozeb. Díky své schopnosti vyhýbat se detekci a pracovat skrytě v kompromitovaných systémech je PowerDrop příkladem neustálého vývoje a vynalézavosti zlomyslných herců v digitální krajině.
Americký letecký průmysl pod útokem: Představení nového malwaru PowerDrop snímků obrazovky
