यूएस एयरोस्पेस इंडस्ट्री अंडर अटैक: द इंट्रोडक्शन ऑफ़ न्यू पॉवरड्रॉप मालवेयर

Computer Security यूएस एयरोस्पेस इंडस्ट्री अंडर अटैक: द इंट्रोडक्शन ऑफ़...

अमेरिकी टेक्सटाइल उद्योग पावर्ड वर्कर्स पर हमला करते हैं

एक पहले से अज्ञात साइबर थ्रेट एक्टर ने पॉवरड्रॉप नामक एक नए खोजे गए पॉवरशेल-आधारित मैलवेयर को तैनात करके अमेरिकी एयरोस्पेस उद्योग की ओर अपना ध्यान केंद्रित किया। यह उन्नत मैलवेयर पता लगाने से बचने के लिए विभिन्न भ्रामक युक्तियों, एन्कोडिंग तकनीकों और एन्क्रिप्शन का उपयोग करता है। "पॉवरड्रॉप" नाम Windows PowerShell टूल पर इसकी निर्भरता और पैडिंग के लिए इसके कोड में शामिल "DROP" (DRP) स्ट्रिंग से निकला है।

पावरड्रॉप एक पोस्ट-शोषण उपकरण है जिसे वैकल्पिक तरीकों के माध्यम से अनधिकृत पहुंच प्राप्त करने के बाद समझौता किए गए नेटवर्क से संवेदनशील जानकारी एकत्र करने के लिए डिज़ाइन किया गया है। कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार को व्यवस्थित करने के लिए, मैलवेयर इंटरनेट कंट्रोल मैसेज प्रोटोकॉल (ICMP) इको अनुरोध संदेशों को बीकन के रूप में नियोजित करता है। C2 सर्वर तब डिकोड किए गए एन्क्रिप्टेड कमांड के साथ प्रतिक्रिया करता है और समझौता किए गए होस्ट पर निष्पादित होता है। इसी तरह, एक ICMP पिंग संदेश का उद्देश्य इन निर्देशों के परिणामों की जांच करना है।

विशेष रूप से, PowerDrop, Windows Management Instrumentation (WMI) सेवा का उपयोग PowerShell कमांड को निष्पादित करने के लिए करता है, जो कि पहचान से बचने के लिए "लिविंग-ऑफ-द-लैंड" तकनीकों के खतरे वाले अभिनेता के उपयोग को प्रदर्शित करता है। जबकि मैलवेयर की मूल प्रकृति असाधारण रूप से परिष्कृत नहीं हो सकती है, संदिग्ध गतिविधियों को अस्पष्ट करने और एंडपॉइंट सुरक्षा से बचने की इसकी क्षमता अधिक उन्नत खतरे वाले अभिनेताओं की भागीदारी को इंगित करती है।

विषयसूची

स्टील्थी मालवेयर अटैक की रणनीति का अनावरण

हाल ही में खोजे गए मैलवेयर को सुरक्षा शोधकर्ताओं द्वारा एक उन्नत मशीन लर्निंग डिटेक्शन सिस्टम के माध्यम से प्रकाश में लाया गया है - शक्तिशाली तकनीक जो PowerShell स्क्रिप्ट निष्पादन की सामग्री की छानबीन करती है, इस मायावी खतरे की पहचान को सक्षम करती है। हालाँकि, इस सफलता के बावजूद, सटीक संक्रमण श्रृंखला और पॉवरड्रॉप का प्रारंभिक समझौता रहस्य में डूबा हुआ है।

विश्लेषक पावरड्रॉप स्क्रिप्ट को तैनात करने के लिए हमलावरों द्वारा नियोजित संभावित तरीकों पर अनुमान लगाते हैं। इनमें कमजोरियों का फायदा उठाना, पीड़ितों को लक्षित करने के लिए फ़िशिंग ईमेल का उपयोग करना, या यहां तक कि स्पूफ्ड सॉफ़्टवेयर डाउनलोड साइटों की भ्रामक रणनीति का सहारा लेना शामिल है। सटीक एवेन्यू जिसके माध्यम से पॉवरड्रॉप ने सिस्टम में घुसपैठ की है, अभी तक निर्धारित नहीं किया गया है। इसकी गुप्त प्रकृति को बढ़ाने के लिए, स्क्रिप्ट को बेस 64 का उपयोग करके एन्कोड किया गया है, जिससे यह पिछले दरवाजे या रिमोट एक्सेस ट्रोजन (RAT) के रूप में कार्य कर सके। यह परिष्कृत तकनीक पावरड्रॉप को पहचान से बचने और समझौता किए गए सिस्टम के भीतर दृढ़ता बनाए रखने में सक्षम बनाती है।

सिस्टम लॉग में जाने से पॉवरड्रॉप की कार्यप्रणाली में महत्वपूर्ण अंतर्दृष्टि का पता चलता है। विश्लेषण से पता चला है कि दुर्भावनापूर्ण स्क्रिप्ट ने पहले से पंजीकृत WMI ईवेंट फ़िल्टर और विशिष्ट उपनाम 'SystemPowerManager' वाले उपभोक्ताओं का प्रभावी ढंग से उपयोग किया। मैलवेयर ने स्वयं 'wmic.exe' कमांड-लाइन टूल का उपयोग करके सिस्टम से समझौता करने पर चतुराई से छलावरण तंत्र बनाया।

पॉवरड्रॉप की अनूठी विशेषताओं का रहस्योद्घाटन आधुनिक समय के साइबर खतरों के परिष्कार पर प्रकाश डालता है। समझौता किए गए सिस्टम के भीतर पहचान से बचने और गुप्त रूप से संचालित करने की अपनी क्षमता के साथ, पावरड्रॉप डिजिटल परिदृश्य में दुर्भावनापूर्ण अभिनेताओं के निरंतर विकास और सरलता का उदाहरण देता है।

एक पहले से अज्ञात साइबर थ्रेट अभिनेता ने पॉवरड्रॉप नामक एक नए खोजे गए पॉवरशेल-आधारित मैलवेयर को तैनात करके अमेरिकी एयरोस्पेस उद्योग की ओर अपना ध्यान केंद्रित किया। यह उन्नत मैलवेयर पता लगाने से बचने के लिए विभिन्न भ्रामक युक्तियों, एन्कोडिंग तकनीकों और एन्क्रिप्शन का उपयोग करता है। "पॉवरड्रॉप" नाम Windows PowerShell टूल पर इसकी निर्भरता और पैडिंग के लिए इसके कोड में शामिल "DROP" (DRP) स्ट्रिंग से निकला है।

PowerDrop एक पोस्ट-शोषण उपकरण है जिसे वैकल्पिक तरीकों के माध्यम से अनधिकृत पहुँच प्राप्त करने के बाद समझौता किए गए नेटवर्क से संवेदनशील जानकारी एकत्र करने के लिए डिज़ाइन किया गया है। कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार को व्यवस्थित करने के लिए, मैलवेयर इंटरनेट कंट्रोल मैसेज प्रोटोकॉल (ICMP) इको अनुरोध संदेशों को बीकन के रूप में नियोजित करता है। C2 सर्वर तब डिकोड किए गए एन्क्रिप्टेड कमांड के साथ प्रतिक्रिया करता है और समझौता किए गए होस्ट पर निष्पादित होता है। इसी तरह, एक ICMP पिंग संदेश का उद्देश्य इन निर्देशों के परिणामों की जांच करना है।

विशेष रूप से, PowerDrop, Windows Management Instrumentation (WMI) सेवा का उपयोग PowerShell कमांड को निष्पादित करने के लिए करता है, जो खतरे के अभिनेता का पता लगाने से बचने के लिए "लिविंग-ऑफ-द-लैंड" तकनीकों के उपयोग को प्रदर्शित करता है। जबकि मैलवेयर की मूल प्रकृति असाधारण रूप से परिष्कृत नहीं हो सकती है, संदिग्ध गतिविधियों को अस्पष्ट करने और एंडपॉइंट सुरक्षा से बचने की इसकी क्षमता अधिक उन्नत खतरे वाले अभिनेताओं की भागीदारी को इंगित करती है।

स्टील्थी मालवेयर अटैक की रणनीति का अनावरण

सिस्टम लॉग में जाने से पॉवरड्रॉप की कार्यप्रणाली में महत्वपूर्ण अंतर्दृष्टि का पता चलता है। विश्लेषण से पता चला कि दुर्भावनापूर्ण स्क्रिप्ट ने प्रभावी रूप से पहले से पंजीकृत WMI ईवेंट फ़िल्टर और विशिष्ट उपनाम 'SystemPowerManager' वाले उपभोक्ताओं का प्रभावी ढंग से उपयोग किया। मैलवेयर ने स्वयं 'wmic.exe' कमांड-लाइन टूल का उपयोग करके सिस्टम से समझौता करने पर चतुराई से छलावरण तंत्र बनाया।

खोज

क्षेत्र बदलें

यूएस एयरोस्पेस इंडस्ट्री अंडर अटैक: द इंट्रोडक्शन ऑफ़ न्यू पॉवरड्रॉप मालवेयर

स्टील्थी मालवेयर अटैक की रणनीति का अनावरण

स्टील्थी मालवेयर अटैक की रणनीति का अनावरण

यूएस एयरोस्पेस इंडस्ट्री अंडर अटैक: द इंट्रोडक्शन ऑफ़ न्यू पॉवरड्रॉप मालवेयर स्क्रीनशॉट

टिप्पणी भेजें