Un attore di minacce informatiche precedentemente non identificato dirige la propria attenzione verso l'industria aerospaziale statunitense distribuendo un malware basato su PowerShell appena scoperto chiamato PowerDrop . Questo malware avanzato utilizza varie tattiche ingannevoli, tecniche di codifica e crittografia per evitare il rilevamento. Il nome "PowerDrop" deriva dalla sua dipendenza dallo strumento Windows PowerShell e dalla stringa "DROP" (DRP) incorporata nel suo codice per il riempimento.
PowerDrop è uno strumento post-sfruttamento progettato per raccogliere informazioni sensibili da reti compromesse dopo aver ottenuto l'accesso non autorizzato tramite metodi alternativi. Per stabilire la comunicazione con un server Command-and-Control (C2), il malware utilizza i messaggi di richiesta echo ICMP (Internet Control Message Protocol) come beacon. Il server C2 risponde quindi con comandi crittografati decodificati ed eseguiti sull'host compromesso. Allo stesso modo, un messaggio ping ICMP mira a esfiltrare i risultati di queste istruzioni.
In particolare, PowerDrop sfrutta il servizio Strumentazione gestione Windows (WMI) per eseguire i comandi di PowerShell, mostrando l'uso da parte dell'attore delle minacce di tecniche "viventi fuori terra" per eludere il rilevamento. Anche se la natura principale del malware potrebbe non essere eccezionalmente sofisticata, la sua capacità di offuscare attività sospette ed eludere le difese degli endpoint indica il coinvolgimento di attori delle minacce più avanzati.
Sommario
Svelare le tattiche dell'attacco malware furtivo
Il malware scoperto di recente è stato portato alla luce dai ricercatori di sicurezza tramite un avanzato sistema di rilevamento dell'apprendimento automatico, una potente tecnologia che esamina il contenuto delle esecuzioni degli script di PowerShell, consentendo l'identificazione di questa minaccia sfuggente. Tuttavia, nonostante questa svolta, l'esatta catena di infezione e il compromesso iniziale di PowerDrop rimangono avvolti nel mistero.
Gli analisti ipotizzano i potenziali metodi impiegati dagli aggressori per distribuire lo script PowerDrop. Questi includono lo sfruttamento delle vulnerabilità, l'utilizzo di e-mail di phishing per prendere di mira le vittime o persino il ricorso alla tattica ingannevole dei siti di download di software contraffatti. La strada esatta attraverso la quale PowerDrop si è infiltrato nei sistemi deve ancora essere determinata. Per migliorare la sua natura segreta, lo script è codificato utilizzando Base64, consentendogli di funzionare come backdoor o Remote Access Trojan (RAT) . Questa sofisticata tecnica consente a PowerDrop di eludere il rilevamento e mantenere la persistenza all'interno dei sistemi compromessi.
Scavare nei registri di sistema svela informazioni cruciali sul modus operandi di PowerDrop. L'analisi ha rivelato che lo script dannoso utilizzava in modo efficace filtri di eventi e consumatori WMI registrati in precedenza con il soprannome distinto "SystemPowerManager". Il malware stesso ha creato questo meccanismo abilmente mimetizzato dopo aver compromesso il sistema utilizzando lo strumento della riga di comando "wmic.exe".
La rivelazione delle caratteristiche uniche di PowerDrop fa luce sulla sofisticatezza delle moderne minacce informatiche. Con la sua capacità di eludere il rilevamento e operare di nascosto all'interno di sistemi compromessi, PowerDrop esemplifica la costante evoluzione e ingegnosità degli attori malintenzionati nel panorama digitale.
Un attore di minacce informatiche precedentemente non identificato dirige la propria attenzione verso l'industria aerospaziale statunitense distribuendo un malware basato su PowerShell scoperto di recente chiamato PowerDrop. Questo malware avanzato utilizza varie tattiche ingannevoli, tecniche di codifica e crittografia per evitare il rilevamento. Il nome "PowerDrop" deriva dalla sua dipendenza dallo strumento Windows PowerShell e dalla stringa "DROP" (DRP) incorporata nel suo codice per il riempimento.
PowerDrop è uno strumento post-sfruttamento progettato per raccogliere informazioni sensibili da reti compromesse dopo aver ottenuto l'accesso non autorizzato tramite metodi alternativi. Per stabilire la comunicazione con un server Command-and-Control (C2), il malware utilizza i messaggi di richiesta echo ICMP (Internet Control Message Protocol) come beacon. Il server C2 risponde quindi con comandi crittografati decodificati ed eseguiti sull'host compromesso. Allo stesso modo, un messaggio ping ICMP mira a esfiltrare i risultati di queste istruzioni.
In particolare, PowerDrop sfrutta il servizio Strumentazione gestione Windows (WMI) per eseguire i comandi di PowerShell, mostrando l'uso da parte dell'attore delle minacce di tecniche "viventi fuori terra" per eludere il rilevamento. Anche se la natura principale del malware potrebbe non essere eccezionalmente sofisticata, la sua capacità di offuscare attività sospette ed eludere le difese degli endpoint indica il coinvolgimento di attori delle minacce più avanzati.
Svelare le tattiche dell'attacco malware furtivo
Il malware scoperto di recente è stato portato alla luce dai ricercatori di sicurezza tramite un avanzato sistema di rilevamento dell'apprendimento automatico, una potente tecnologia che esamina il contenuto delle esecuzioni degli script di PowerShell, consentendo l'identificazione di questa minaccia sfuggente. Tuttavia, nonostante questa svolta, l'esatta catena di infezione e il compromesso iniziale di PowerDrop rimangono avvolti nel mistero.
Gli analisti ipotizzano i potenziali metodi impiegati dagli aggressori per distribuire lo script PowerDrop. Questi includono lo sfruttamento delle vulnerabilità, l'utilizzo di e-mail di phishing per prendere di mira le vittime o persino il ricorso alla tattica ingannevole dei siti di download di software contraffatti. La strada esatta attraverso la quale PowerDrop si è infiltrato nei sistemi deve ancora essere determinata. Per migliorare la sua natura segreta, lo script è codificato utilizzando Base64, consentendogli di funzionare come backdoor o Remote Access Trojan (RAT). Questa sofisticata tecnica consente a PowerDrop di eludere il rilevamento e mantenere la persistenza all'interno dei sistemi compromessi.
Scavare nei registri di sistema svela informazioni cruciali sul modus operandi di PowerDrop. L'analisi ha rivelato che lo script dannoso utilizzava in modo efficace filtri di eventi e consumatori WMI precedentemente registrati con il soprannome distinto "SystemPowerManager". Il malware stesso ha creato questo meccanismo abilmente mimetizzato dopo aver compromesso il sistema utilizzando lo strumento della riga di comando "wmic.exe".
La rivelazione delle caratteristiche uniche di PowerDrop fa luce sulla sofisticatezza delle moderne minacce informatiche. Con la sua capacità di eludere il rilevamento e operare di nascosto all'interno di sistemi compromessi, PowerDrop esemplifica la costante evoluzione e ingegnosità degli attori malintenzionati nel panorama digitale.
Industria aerospaziale statunitense sotto attacco: l’introduzione del nuovo malware PowerDrop screenshot
