이전에 확인되지 않은 사이버 위협 행위자가 PowerDrop 이라는 새로 발견된 PowerShell 기반 맬웨어를 배포하여 미국 항공우주 산업에 주의를 집중합니다. 이 고급 맬웨어는 탐지를 피하기 위해 다양한 기만적인 전술, 인코딩 기술 및 암호화를 사용합니다. "PowerDrop"이라는 이름은 패딩을 위해 코드에 통합된 "DROP"(DRP) 문자열과 Windows PowerShell 도구에 대한 의존도에서 유래되었습니다.
PowerDrop은 대체 방법을 통해 무단 액세스 권한을 얻은 후 손상된 네트워크에서 민감한 정보를 수집하도록 설계된 악용 후 도구입니다. C2(Command-and-Control) 서버와의 통신을 정착시키기 위해 악성코드는 ICMP(Internet Control Message Protocol) 에코 요청 메시지를 비콘으로 사용합니다. 그런 다음 C2 서버는 손상된 호스트에서 디코딩되고 실행되는 암호화된 명령으로 응답합니다. 마찬가지로 ICMP ping 메시지는 이러한 지침의 결과를 유출하는 것을 목표로 합니다.
특히 PowerDrop은 WMI(Windows Management Instrumentation) 서비스를 활용하여 PowerShell 명령을 실행하여 위협 행위자가 탐지를 피하기 위해 "토지에서 살기" 기술을 사용함을 보여줍니다. 맬웨어의 핵심 특성은 그다지 정교하지 않을 수 있지만 의심스러운 활동을 난독화하고 엔드포인트 방어를 회피하는 능력은 더 지능적인 위협 행위자가 관여하고 있음을 나타냅니다.
목차
은밀한 멀웨어 공격의 전술 공개
최근에 발견된 맬웨어는 PowerShell 스크립트 실행의 내용을 면밀히 조사하여 파악하기 어려운 위협을 식별할 수 있는 강력한 기술인 고급 머신 러닝 탐지 시스템을 통해 보안 연구원에 의해 밝혀졌습니다. 그러나 이러한 돌파구에도 불구하고 PowerDrop의 정확한 감염 경로와 초기 손상은 수수께끼에 싸여 있습니다.
분석가들은 공격자가 PowerDrop 스크립트를 배포하기 위해 사용하는 잠재적인 방법을 추측합니다. 여기에는 취약성 악용, 피싱 이메일을 활용하여 피해자를 표적으로 삼거나 스푸핑된 소프트웨어 다운로드 사이트의 기만적인 전술에 의존하는 것이 포함됩니다. PowerDrop이 시스템에 침투한 정확한 경로는 아직 결정되지 않았습니다. 은밀한 특성을 강화하기 위해 스크립트는 Base64를 사용하여 인코딩되어 백도어 또는 RAT(원격 액세스 트로이 목마) 로 작동할 수 있습니다. 이 정교한 기술을 통해 PowerDrop은 탐지를 피하고 손상된 시스템 내에서 지속성을 유지할 수 있습니다.
시스템 로그를 자세히 살펴보면 PowerDrop의 작업 방식에 대한 중요한 통찰력을 얻을 수 있습니다. 분석 결과 악성 스크립트는 이전에 등록된 WMI 이벤트 필터와 'SystemPowerManager'라는 고유한 이름을 가진 소비자를 효과적으로 활용한 것으로 나타났습니다. 맬웨어 자체는 'wmic.exe' 명령줄 도구를 사용하여 시스템을 손상시키면서 교묘하게 위장한 메커니즘을 생성했습니다.
PowerDrop의 고유한 특성에 대한 계시는 현대 사이버 위협의 정교함을 조명합니다. PowerDrop은 탐지를 회피하고 손상된 시스템 내에서 은밀하게 작동하는 기능을 통해 디지털 환경에서 악의적인 행위자의 지속적인 진화와 독창성을 보여줍니다.
이전에 확인되지 않은 사이버 위협 행위자가 PowerDrop이라는 새로 발견된 PowerShell 기반 맬웨어를 배포하여 미국 항공 우주 산업에 주의를 집중합니다. 이 고급 맬웨어는 탐지를 피하기 위해 다양한 기만적인 전술, 인코딩 기술 및 암호화를 사용합니다. "PowerDrop"이라는 이름은 패딩을 위해 코드에 통합된 "DROP"(DRP) 문자열과 Windows PowerShell 도구에 대한 의존도에서 파생되었습니다.
PowerDrop은 대체 방법을 통해 무단 액세스 권한을 얻은 후 손상된 네트워크에서 민감한 정보를 수집하도록 설계된 악용 후 도구입니다. C2(Command-and-Control) 서버와의 통신을 정착시키기 위해 악성코드는 ICMP(Internet Control Message Protocol) 에코 요청 메시지를 비콘으로 사용합니다. 그런 다음 C2 서버는 손상된 호스트에서 디코딩되고 실행되는 암호화된 명령으로 응답합니다. 마찬가지로 ICMP ping 메시지는 이러한 지침의 결과를 유출하는 것을 목표로 합니다.
특히 PowerDrop은 WMI(Windows Management Instrumentation) 서비스를 활용하여 PowerShell 명령을 실행하여 위협 행위자가 탐지를 피하기 위해 "토지에서 살기" 기술을 사용함을 보여줍니다. 맬웨어의 핵심 특성은 그다지 정교하지 않을 수 있지만 의심스러운 활동을 난독화하고 엔드포인트 방어를 회피하는 능력은 더 지능적인 위협 행위자가 관여하고 있음을 나타냅니다.
은밀한 멀웨어 공격의 전술 공개
최근에 발견된 맬웨어는 PowerShell 스크립트 실행의 내용을 면밀히 조사하여 파악하기 어려운 위협을 식별할 수 있는 강력한 기술인 고급 머신 러닝 탐지 시스템을 통해 보안 연구원에 의해 밝혀졌습니다. 그러나 이러한 돌파구에도 불구하고 PowerDrop의 정확한 감염 경로와 초기 손상은 수수께끼에 싸여 있습니다.
분석가들은 공격자가 PowerDrop 스크립트를 배포하기 위해 사용하는 잠재적인 방법을 추측합니다. 여기에는 취약성 악용, 피싱 이메일을 활용하여 피해자를 표적으로 삼거나 스푸핑된 소프트웨어 다운로드 사이트의 기만적인 전술에 의존하는 것이 포함됩니다. PowerDrop이 시스템에 침투한 정확한 경로는 아직 결정되지 않았습니다. 은밀한 특성을 강화하기 위해 스크립트는 Base64를 사용하여 인코딩되어 백도어 또는 RAT(원격 액세스 트로이 목마)로 작동할 수 있습니다. 이 정교한 기술을 통해 PowerDrop은 탐지를 피하고 손상된 시스템 내에서 지속성을 유지할 수 있습니다.
시스템 로그를 자세히 살펴보면 PowerDrop의 작업 방식에 대한 중요한 통찰력을 얻을 수 있습니다. 분석 결과 악성 스크립트는 이전에 등록된 WMI 이벤트 필터와 'SystemPowerManager'라는 고유한 이름을 가진 소비자를 효과적으로 활용한 것으로 나타났습니다. 맬웨어 자체는 'wmic.exe' 명령줄 도구를 사용하여 시스템을 손상시키면서 교묘하게 위장한 메커니즘을 생성했습니다.
PowerDrop의 고유한 특성에 대한 계시는 현대 사이버 위협의 정교함을 조명합니다. PowerDrop은 탐지를 피하고 손상된 시스템 내에서 은밀하게 작동하는 기능을 통해 디지털 환경에서 악의적인 행위자의 지속적인 진화와 독창성을 보여줍니다.
공격을 받고 있는 미국 항공우주 산업: 새로운 PowerDrop 맬웨어 도입 스크린샷
