En tidligere uidentificeret cybertrusselsaktør retter deres opmærksomhed mod den amerikanske luftfartsindustri ved at implementere en nyopdaget PowerShell-baseret malware kaldet PowerDrop . Denne avancerede malware bruger forskellige vildledende taktikker, kodningsteknikker og kryptering for at undgå opdagelse. Navnet "PowerDrop" stammer fra dets afhængighed af Windows PowerShell-værktøjet og "DROP"-strengen (DRP) indarbejdet i dens kode til udfyldning.
PowerDrop er et post-udnyttelsesværktøj designet til at indsamle følsomme oplysninger fra kompromitterede netværk efter at have fået uautoriseret adgang gennem alternative metoder. For at afgøre kommunikationen med en Command-and-Control-server (C2) anvender malwaren Internet Control Message Protocol (ICMP) ekkoanmodningsmeddelelser som beacons. C2-serveren reagerer derefter med krypterede kommandoer, der dekodes og udføres på den kompromitterede vært. På samme måde har en ICMP-ping-meddelelse til formål at udslette resultaterne af disse instruktioner.
Især PowerDrop udnytter Windows Management Instrumentation-tjenesten (WMI) til at udføre PowerShell-kommandoer, der viser trusselsaktørens brug af "living-off-the-land"-teknikker for at undgå opdagelse. Selvom kernen i malwaren måske ikke er usædvanligt sofistikeret, indikerer dens evne til at sløre mistænkelige aktiviteter og undgå endpoint-forsvar involvering af mere avancerede trusselsaktører.
Indholdsfortegnelse
Afsløring af taktikken for det skjulte malwareangreb
Den nyligt opdagede malware er blevet bragt frem i lyset af sikkerhedsforskere via et avanceret maskinlæringsdetektionssystem – kraftfuld teknologi, der gransker indholdet af PowerShell-scriptudførelser, hvilket muliggør identifikation af denne uhåndgribelige trussel. På trods af dette gennembrud forbliver den nøjagtige infektionskæde og indledende kompromittering af PowerDrop omgivet af mystik.
Analytikere spekulerer i de potentielle metoder, som angriberne anvender til at implementere PowerDrop-scriptet. Disse omfatter udnyttelse af sårbarheder, brug af phishing-e-mails til at målrette mod ofre eller endda at ty til den vildledende taktik med websteder til at downloade forfalskede software. Den nøjagtige vej, hvorigennem PowerDrop infiltrerede systemer, er endnu ikke fastlagt. For at forbedre dets hemmelige karakter er scriptet kodet ved hjælp af Base64, så det kan fungere som en bagdør eller Remote Access Trojan (RAT) . Denne sofistikerede teknik gør det muligt for PowerDrop at undgå registrering og opretholde persistens i kompromitterede systemer.
At dykke ned i systemloggene afslører afgørende indsigt i PowerDrops modus operandi. Analysen afslørede, at det ondsindede script effektivt brugte tidligere registrerede WMI-hændelsesfiltre og forbrugere med den distinkte betegnelse 'SystemPowerManager'. Malwaren selv skabte denne smart camouflerede mekanisme ved at kompromittere systemet ved hjælp af kommandolinjeværktøjet 'wmic.exe'.
Afsløringen af PowerDrops unikke egenskaber kaster lys over det sofistikerede i moderne cybertrusler. Med sin evne til at undgå registrering og operere skjult inden for kompromitterede systemer, eksemplificerer PowerDrop ondsindede aktørers konstante udvikling og opfindsomhed i det digitale landskab.
En tidligere uidentificeret cybertrusselsaktør retter deres opmærksomhed mod den amerikanske rumfartsindustri ved at implementere en nyopdaget PowerShell-baseret malware kaldet PowerDrop. Denne avancerede malware bruger forskellige vildledende taktikker, kodningsteknikker og kryptering for at undgå opdagelse. Navnet "PowerDrop" stammer fra dets afhængighed af Windows PowerShell-værktøjet og "DROP"-strengen (DRP) indarbejdet i dens kode til udfyldning.
PowerDrop er et post-udnyttelsesværktøj designet til at indsamle følsomme oplysninger fra kompromitterede netværk efter at have fået uautoriseret adgang gennem alternative metoder. For at afgøre kommunikation med en Command-and-Control-server (C2) anvender malwaren Internet Control Message Protocol (ICMP) ekkoanmodningsmeddelelser som beacons. C2-serveren reagerer derefter med krypterede kommandoer, der dekodes og udføres på den kompromitterede vært. På samme måde har en ICMP-ping-meddelelse til formål at udslette resultaterne af disse instruktioner.
Især PowerDrop udnytter Windows Management Instrumentation-tjenesten (WMI) til at udføre PowerShell-kommandoer, der viser trusselsaktørens brug af "living-off-the-land"-teknikker for at undgå opdagelse. Selvom kernen af malwaren måske ikke er usædvanlig sofistikeret, indikerer dens evne til at sløre mistænkelige aktiviteter og unddrage sig endpoint-forsvar involvering af mere avancerede trusselsaktører.
Afsløring af taktikken for det skjulte malwareangreb
Den nyligt opdagede malware er blevet bragt frem i lyset af sikkerhedsforskere via et avanceret maskinlæringsdetektionssystem – kraftfuld teknologi, der gransker indholdet af PowerShell-scriptudførelser, hvilket muliggør identifikation af denne uhåndgribelige trussel. På trods af dette gennembrud forbliver den nøjagtige infektionskæde og indledende kompromittering af PowerDrop omgivet af mystik.
Analytikere spekulerer i de potentielle metoder, som angriberne anvender til at implementere PowerDrop-scriptet. Disse omfatter udnyttelse af sårbarheder, brug af phishing-e-mails til at målrette mod ofre eller endda at ty til den vildledende taktik med websteder til at downloade forfalskede software. Den nøjagtige vej, hvorigennem PowerDrop infiltrerede systemer, er endnu ikke fastlagt. For at forbedre dets hemmelige karakter er scriptet kodet ved hjælp af Base64, så det kan fungere som en bagdør eller en fjernadgangstrojansk hest (RAT). Denne sofistikerede teknik gør det muligt for PowerDrop at undgå registrering og opretholde persistens i kompromitterede systemer.
At dykke ned i systemloggene afslører afgørende indsigt i PowerDrops modus operandi. Analysen afslørede, at det ondsindede script effektivt brugte tidligere registrerede WMI-hændelsesfiltre og forbrugere med den distinkte betegnelse 'SystemPowerManager'. Malwaren selv skabte denne smart camouflerede mekanisme ved at kompromittere systemet ved hjælp af kommandolinjeværktøjet 'wmic.exe'.
Afsløringen af PowerDrops unikke egenskaber kaster lys over det sofistikerede i moderne cybertrusler. Med sin evne til at undgå registrering og operere skjult inden for kompromitterede systemer, eksemplificerer PowerDrop ondsindede aktørers konstante udvikling og opfindsomhed i det digitale landskab.
US Aerospace Industry Under Attack: Introduktionen af ny PowerDrop Malware Skærmbilleder
