שחקן איומי סייבר שלא זוהה בעבר מפנה את תשומת ליבם לתעשיית התעופה והחלל האמריקאית על ידי פריסת תוכנה זדונית חדשה שהתגלתה מבוססת PowerShell בשם PowerDrop . תוכנה זדונית מתקדמת זו משתמשת בטקטיקות מטעות שונות, טכניקות קידוד והצפנה כדי למנוע זיהוי. השם "PowerDrop" נובע מהסתמכותו על כלי Windows PowerShell ועל מחרוזת "DROP" (DRP) המשולבת בקוד שלו עבור ריפוד.
PowerDrop הוא כלי לאחר ניצול שנועד לאסוף מידע רגיש מרשתות שנפגעו לאחר קבלת גישה לא מורשית באמצעות שיטות חלופיות. כדי ליישב את התקשורת עם שרת Command-and-Control (C2), התוכנה הזדונית משתמשת בהודעות בקשת הד של ICMP (Internet Control Message Protocol) כמשואות. לאחר מכן שרת ה-C2 מגיב בפקודות מוצפנות המפוענחות ומבוצעות על המארח שנפרץ. באופן דומה, הודעת פינג של ICMP שואפת לחלץ את התוצאות של הוראות אלה.
במיוחד, PowerDrop ממנפת את שירות Windows Management Instrumentation (WMI) לביצוע פקודות PowerShell, ומציגה את השימוש של שחקן האיום בטכניקות "לחיות מחוץ לאדמה" כדי להתחמק מזיהוי. בעוד שאופי הליבה של התוכנה הזדונית אולי אינו מתוחכם במיוחד, היכולת שלה לטשטש פעילויות חשודות ולהתחמק מהגנת נקודות קצה מעידה על מעורבותם של גורמי איומים מתקדמים יותר.
תוכן העניינים
חשיפת הטקטיקות של מתקפת תוכנה זדונית חמקנית
התוכנה הזדונית שהתגלתה לאחרונה הוצגה על ידי חוקרי אבטחה באמצעות מערכת מתקדמת לזיהוי למידה חישובית - טכנולוגיה רבת עוצמה הבוחנת את התוכן של ביצוע סקריפטים של PowerShell, ומאפשרת זיהוי של האיום החמקמק הזה. עם זאת, למרות פריצת דרך זו, שרשרת ההדבקה המדויקת והפשרה הראשונית של PowerDrop נותרו אפופים במסתורין.
אנליסטים משערים על השיטות הפוטנציאליות שהפעילו התוקפים כדי לפרוס את סקריפט PowerDrop. אלה כוללים ניצול נקודות תורפה, ניצול דוא"ל דיוג כדי למקד קורבנות, או אפילו שימוש בטקטיקה המטעה של אתרי הורדת תוכנות מזויפות. השדרה המדויקת דרכה חדרה PowerDrop למערכות טרם נקבעה. כדי לשפר את אופיו הסמוי, הסקריפט מקודד באמצעות Base64, מה שמאפשר לו לתפקד כ-Trojan של דלת אחורית או גישה מרחוק (RAT) . טכניקה מתוחכמת זו מאפשרת ל-PowerDrop להתחמק מזיהוי ולשמור על התמדה בתוך מערכות שנפגעו.
התעמקות ביומני המערכת חושפת תובנות חיוניות לגבי דרכי הפעולה של PowerDrop. הניתוח גילה כי הסקריפט הזדוני השתמש ביעילות במסנני אירועי WMI שנרשמו בעבר ובצרכנים עם הכינוי המובהק 'SystemPowerManager'. התוכנה הזדונית עצמה יצרה את המנגנון המוסווה בצורה חכמה לאחר פגיעה במערכת באמצעות כלי שורת הפקודה 'wmic.exe'.
חשיפת המאפיינים הייחודיים של PowerDrop שופכת אור על התחכום של איומי הסייבר המודרניים. עם היכולת שלה להתחמק מזיהוי ולפעול באופן סמוי בתוך מערכות שנפגעו, PowerDrop מדגים את ההתפתחות המתמדת של שחקנים זדוניים וכושר ההמצאה בנוף הדיגיטלי.
שחקן איומי סייבר שלא זוהה בעבר מפנה את תשומת ליבם לתעשיית התעופה והחלל האמריקאית על ידי פריסת תוכנה זדונית חדשה שהתגלתה מבוססת PowerShell בשם PowerDrop. תוכנה זדונית מתקדמת זו משתמשת בטקטיקות מטעות שונות, טכניקות קידוד והצפנה כדי למנוע זיהוי. השם "PowerDrop" נובע מהסתמכותו על כלי Windows PowerShell ועל מחרוזת "DROP" (DRP) המשולבת בקוד שלו עבור ריפוד.
PowerDrop הוא כלי לאחר ניצול שנועד לאסוף מידע רגיש מרשתות שנפגעו לאחר קבלת גישה לא מורשית באמצעות שיטות חלופיות. כדי ליישב את התקשורת עם שרת Command-and-Control (C2), התוכנה הזדונית משתמשת בהודעות בקשת הד של ICMP (Internet Control Message Protocol) כמשואות. לאחר מכן שרת ה-C2 מגיב בפקודות מוצפנות המפוענחות ומבוצעות על המארח שנפרץ. באופן דומה, הודעת פינג של ICMP שואפת לחלץ את התוצאות של הוראות אלה.
במיוחד, PowerDrop ממנפת את שירות Windows Management Instrumentation (WMI) לביצוע פקודות PowerShell, ומציגה את השימוש של שחקן האיום בטכניקות "לחיות מחוץ לאדמה" כדי להתחמק מזיהוי. בעוד שאופי הליבה של התוכנה הזדונית אולי אינו מתוחכם במיוחד, היכולת שלה לטשטש פעילויות חשודות ולהתחמק מהגנת נקודות קצה מעידה על מעורבותם של גורמי איומים מתקדמים יותר.
חשיפת הטקטיקות של מתקפת תוכנה זדונית חמקנית
התוכנה הזדונית שהתגלתה לאחרונה הוצגה על ידי חוקרי אבטחה באמצעות מערכת מתקדמת לזיהוי למידה חישובית - טכנולוגיה רבת עוצמה שבודקת את התוכן של ביצוע סקריפטים של PowerShell, ומאפשרת זיהוי של האיום החמקמק הזה. עם זאת, למרות פריצת דרך זו, שרשרת ההדבקה המדויקת והפשרה הראשונית של PowerDrop נותרו אפופים במסתורין.
אנליסטים משערים על השיטות הפוטנציאליות שהפעילו התוקפים כדי לפרוס את סקריפט PowerDrop. אלה כוללים ניצול נקודות תורפה, ניצול דוא"ל דיוג כדי למקד קורבנות, או אפילו שימוש בטקטיקה המטעה של אתרי הורדת תוכנות מזויפות. השדרה המדויקת דרכה חדרה PowerDrop למערכות טרם נקבעה. כדי לשפר את אופיו הסמוי, הסקריפט מקודד באמצעות Base64, מה שמאפשר לו לתפקד כסרויאני בדלת אחורית או גישה מרחוק (RAT). טכניקה מתוחכמת זו מאפשרת ל-PowerDrop להתחמק מזיהוי ולשמור על התמדה בתוך מערכות שנפגעו.
התעמקות ביומני המערכת חושפת תובנות חיוניות לגבי דרכי הפעולה של PowerDrop. הניתוח גילה כי הסקריפט הזדוני השתמש ביעילות במסנני אירועי WMI שנרשמו בעבר ובצרכנים עם הכינוי המובהק 'SystemPowerManager'. התוכנה הזדונית עצמה יצרה את המנגנון המוסווה בצורה חכמה לאחר פגיעה במערכת באמצעות כלי שורת הפקודה 'wmic.exe'.
חשיפת המאפיינים הייחודיים של PowerDrop שופכת אור על התחכום של איומי הסייבר המודרניים. עם היכולת שלה להתחמק מגילוי ולפעול באופן סמוי בתוך מערכות שנפגעו, PowerDrop מדגים את ההתפתחות המתמדת של שחקנים זדוניים וכושר ההמצאה בנוף הדיגיטלי.
תעשיית התעופה והחלל בארה”ב תחת התקפה: הצגת תוכנות זדוניות חדשות PowerDrop צילומי מסך
