Prethodno neidentificirani akter kibernetičke prijetnje usmjerava njihovu pozornost na američku zrakoplovnu industriju uvođenjem novootkrivenog zlonamjernog softvera PowerDrop koji se temelji na PowerShell-u. Ovaj napredni zlonamjerni softver koristi razne prijevarne taktike, tehnike kodiranja i enkripciju kako bi izbjegao otkrivanje. Naziv "PowerDrop" proizlazi iz oslanjanja na alat Windows PowerShell i niz "DROP" (DRP) ugrađen u njegov kod za ispunu.
PowerDrop je posteksploatacijski alat dizajniran za prikupljanje osjetljivih informacija s kompromitiranih mreža nakon dobivanja neovlaštenog pristupa alternativnim metodama. Za uspostavljanje komunikacije s Command-and-Control (C2) poslužiteljem, zlonamjerni softver koristi poruke echo zahtjeva protokola Internet Control Message Protocol (ICMP) kao svjetionike. C2 poslužitelj tada odgovara šifriranim naredbama dekodiranim i izvršenim na kompromitiranom računalu. Slično tome, ICMP ping poruka ima za cilj eksfiltrirati rezultate ovih uputa.
Posebno, PowerDrop koristi uslugu Windows Management Instrumentation (WMI) za izvršavanje PowerShell naredbi, pokazujući kako akter prijetnje koristi tehnike "života izvan zemlje" kako bi izbjegao otkrivanje. Iako osnovna priroda zlonamjernog softvera možda nije iznimno sofisticirana, njegova sposobnost prikrivanja sumnjivih aktivnosti i izbjegavanja obrane krajnjih točaka ukazuje na uključenost naprednijih aktera prijetnji.
Sadržaj
Otkrivanje taktike prikrivenog malware napada
Nedavno otkriven zlonamjerni softver otkrili su sigurnosni istraživači putem naprednog sustava za otkrivanje strojnog učenja – moćne tehnologije koja pomno ispituje sadržaj izvršavanja PowerShell skripti, omogućujući prepoznavanje ove nedokučive prijetnje. Međutim, usprkos ovom otkriću, točan lanac infekcije i početna kompromitacija PowerDropa ostaju obavijeni misterijom.
Analitičari nagađaju o potencijalnim metodama koje napadači koriste za implementaciju PowerDrop skripte. To uključuje iskorištavanje ranjivosti, korištenje phishing e-pošte za ciljanje žrtava ili čak pribjegavanje prijevarnoj taktici stranica za preuzimanje lažnog softvera. Točan put kojim se PowerDrop infiltrirao u sustave tek treba utvrditi. Kako bi se poboljšala njegova tajna priroda, skripta je kodirana korištenjem Base64, što joj omogućuje da funkcionira kao backdoor ili Remote Access Trojan (RAT) . Ova sofisticirana tehnika omogućuje PowerDropu da izbjegne otkrivanje i održi postojanost unutar ugroženih sustava.
Zadubljivanje u zapisnike sustava otkriva ključne uvide u modus operandi PowerDrop-a. Analiza je otkrila da je zlonamjerna skripta učinkovito koristila prethodno registrirane WMI filtere događaja i potrošače s posebnim nadimkom 'SystemPowerManager'. Zlonamjerni softver je sam stvorio ovaj vješto zakamuflirani mehanizam nakon kompromitiranja sustava pomoću alata naredbenog retka 'wmic.exe'.
Otkrivanje jedinstvenih karakteristika PowerDropa baca svjetlo na sofisticiranost suvremenih cyber prijetnji. Sa svojom sposobnošću da izbjegne otkrivanje i tajno djeluje unutar kompromitiranih sustava, PowerDrop je primjer stalne evolucije i domišljatosti zlonamjernih aktera u digitalnom okruženju.
Prethodno neidentificirani akter cyber prijetnje usmjerava njihovu pozornost na američku zrakoplovnu industriju uvođenjem novootkrivenog zlonamjernog softvera PowerDrop koji se temelji na PowerShell-u. Ovaj napredni zlonamjerni softver koristi razne prijevarne taktike, tehnike kodiranja i enkripciju kako bi izbjegao otkrivanje. Naziv "PowerDrop" proizlazi iz oslanjanja na alat Windows PowerShell i niz "DROP" (DRP) ugrađen u njegov kod za ispunu.
PowerDrop je post-eksploatacijski alat dizajniran za prikupljanje osjetljivih informacija s kompromitiranih mreža nakon dobivanja neovlaštenog pristupa alternativnim metodama. Za uspostavljanje komunikacije s Command-and-Control (C2) poslužiteljem, zlonamjerni softver koristi poruke echo zahtjeva protokola Internet Control Message Protocol (ICMP) kao svjetionike. C2 poslužitelj tada odgovara šifriranim naredbama dekodiranim i izvršenim na kompromitiranom računalu. Slično tome, ICMP ping poruka ima za cilj eksfiltrirati rezultate ovih uputa.
Naime, PowerDrop koristi uslugu Windows Management Instrumentation (WMI) za izvršavanje PowerShell naredbi, pokazujući kako akter prijetnje koristi tehnike "života izvan zemlje" kako bi izbjegao otkrivanje. Iako osnovna priroda zlonamjernog softvera možda nije iznimno sofisticirana, njegova sposobnost da prikrije sumnjive aktivnosti i izbjegne obranu krajnjih točaka ukazuje na uključenost naprednijih aktera prijetnji.
Otkrivanje taktike prikrivenog malware napada
Nedavno otkriven zlonamjerni softver otkrili su istraživači sigurnosti putem naprednog sustava za otkrivanje strojnog učenja – moćne tehnologije koja pomno ispituje sadržaj izvršavanja PowerShell skripti, omogućujući prepoznavanje ove nedokučive prijetnje. Međutim, usprkos ovom otkriću, točan lanac infekcije i početna kompromitacija PowerDropa ostaju obavijeni misterijom.
Analitičari nagađaju o potencijalnim metodama koje napadači koriste za implementaciju PowerDrop skripte. To uključuje iskorištavanje ranjivosti, korištenje phishing e-pošte za ciljanje žrtava ili čak pribjegavanje prijevarnoj taktici stranica za preuzimanje lažnog softvera. Točan put kojim se PowerDrop infiltrirao u sustave tek treba utvrditi. Kako bi se poboljšala njegova tajna priroda, skripta je kodirana pomoću Base64, što joj omogućuje da funkcionira kao backdoor ili udaljeni pristupni trojanac (RAT). Ova sofisticirana tehnika omogućuje PowerDropu da izbjegne otkrivanje i održi postojanost unutar ugroženih sustava.
Zadubljivanje u zapisnike sustava otkriva ključne uvide u modus operandi PowerDrop-a. Analiza je otkrila da je zlonamjerna skripta učinkovito koristila prethodno registrirane WMI filtere događaja i potrošače s posebnim nadimkom 'SystemPowerManager'. Zlonamjerni softver je sam stvorio ovaj vješto zakamuflirani mehanizam nakon kompromitiranja sustava pomoću alata naredbenog retka 'wmic.exe'.
Otkrivanje jedinstvenih karakteristika PowerDropa baca svjetlo na sofisticiranost suvremenih cyber prijetnji. Sa svojom sposobnošću da izbjegne otkrivanje i tajno djeluje unutar kompromitiranih sustava, PowerDrop je primjer stalne evolucije i domišljatosti zlonamjernih aktera u digitalnom okruženju.
Američka zrakoplovna industrija pod napadom: Uvođenje novog zlonamjernog softvera PowerDrop Snimaka Zaslona
