Seorang pelakon ancaman siber yang tidak dikenali sebelum ini mengarahkan perhatian mereka ke arah industri aeroangkasa AS dengan menggunakan perisian hasad berasaskan PowerShell yang baru ditemui dipanggil PowerDrop . Malware canggih ini menggunakan pelbagai taktik menipu, teknik pengekodan dan penyulitan untuk mengelakkan pengesanan. Nama "PowerDrop" berasal daripada pergantungannya pada alat Windows PowerShell dan rentetan "DROP" (DRP) yang digabungkan ke dalam kodnya untuk padding.
PowerDrop ialah alat pasca eksploitasi yang direka untuk mengumpulkan maklumat sensitif daripada rangkaian yang terjejas selepas mendapat akses tanpa kebenaran melalui kaedah alternatif. Untuk menyelesaikan komunikasi dengan pelayan Command-and-Control (C2), perisian hasad menggunakan mesej permintaan gema Protokol Mesej Kawalan Internet (ICMP) sebagai suar. Pelayan C2 kemudian bertindak balas dengan arahan yang disulitkan yang dinyahkod dan dilaksanakan pada hos yang terjejas. Begitu juga, mesej ping ICMP bertujuan untuk mengeluarkan hasil arahan ini.
Terutamanya, PowerDrop memanfaatkan perkhidmatan Instrumen Pengurusan Windows (WMI) untuk melaksanakan arahan PowerShell, mempamerkan penggunaan teknik "hidup di luar tanah" oleh aktor ancaman untuk mengelak pengesanan. Walaupun sifat teras perisian hasad mungkin tidak begitu canggih, keupayaannya untuk mengelirukan aktiviti yang mencurigakan dan mengelak pertahanan titik akhir menunjukkan penglibatan aktor ancaman yang lebih maju.
Isi kandungan
Membongkar Taktik Serangan Perisian Hasad Senyap
Malware yang ditemui baru-baru ini telah didedahkan oleh penyelidik keselamatan melalui sistem pengesanan pembelajaran mesin termaju – teknologi berkuasa yang meneliti kandungan pelaksanaan skrip PowerShell, membolehkan pengecaman ancaman yang sukar difahami ini. Walau bagaimanapun, di sebalik kejayaan ini, rantaian jangkitan yang tepat dan kompromi awal PowerDrop kekal diselubungi misteri.
Penganalisis membuat spekulasi mengenai kaedah yang berpotensi digunakan oleh penyerang untuk menggunakan skrip PowerDrop. Ini termasuk mengeksploitasi kelemahan, menggunakan e-mel pancingan data untuk menyasarkan mangsa, atau bahkan menggunakan taktik menipu tapak muat turun perisian palsu. Jalan tepat di mana sistem penyusupan PowerDrop masih belum ditentukan. Untuk meningkatkan sifat rahsianya, skrip dikodkan menggunakan Base64, membolehkan ia berfungsi sebagai pintu belakang atau Trojan Akses Jauh (RAT) . Teknik canggih ini membolehkan PowerDrop mengelak pengesanan dan mengekalkan kegigihan dalam sistem yang terjejas.
Menyelidiki log sistem membongkar cerapan penting tentang modus operandi PowerDrop. Analisis mendedahkan bahawa skrip berniat jahat menggunakan penapis acara WMI yang telah didaftarkan sebelum ini dan pengguna dengan nama yang berbeza 'SystemPowerManager.' Malware itu sendiri mencipta mekanisme penyamaran yang bijak ini apabila menjejaskan sistem menggunakan alat baris arahan 'wmic.exe'.
Pendedahan ciri unik PowerDrop memberi penerangan tentang kecanggihan ancaman siber moden. Dengan keupayaannya untuk mengelak pengesanan dan beroperasi secara rahsia dalam sistem yang terjejas, PowerDrop menunjukkan evolusi berterusan dan kepintaran pelakon yang berniat jahat dalam landskap digital.
Seorang pelakon ancaman siber yang tidak dikenali sebelum ini mengarahkan perhatian mereka ke arah industri aeroangkasa AS dengan menggunakan perisian hasad berasaskan PowerShell yang baru ditemui dipanggil PowerDrop. Malware canggih ini menggunakan pelbagai taktik menipu, teknik pengekodan dan penyulitan untuk mengelakkan pengesanan. Nama "PowerDrop" berasal daripada pergantungannya pada alat Windows PowerShell dan rentetan "DROP" (DRP) yang digabungkan ke dalam kodnya untuk padding.
PowerDrop ialah alat pasca eksploitasi yang direka untuk mengumpulkan maklumat sensitif daripada rangkaian yang terjejas selepas mendapat akses tanpa kebenaran melalui kaedah alternatif. Untuk menyelesaikan komunikasi dengan pelayan Command-and-Control (C2), perisian hasad menggunakan mesej permintaan gema Protokol Mesej Kawalan Internet (ICMP) sebagai suar. Pelayan C2 kemudian bertindak balas dengan arahan yang disulitkan yang dinyahkod dan dilaksanakan pada hos yang terjejas. Begitu juga, mesej ping ICMP bertujuan untuk mengeluarkan hasil arahan ini.
Terutamanya, PowerDrop memanfaatkan perkhidmatan Instrumen Pengurusan Windows (WMI) untuk melaksanakan arahan PowerShell, mempamerkan penggunaan teknik "hidup di luar tanah" oleh aktor ancaman untuk mengelak pengesanan. Walaupun sifat teras perisian hasad mungkin tidak begitu canggih, keupayaannya untuk mengelirukan aktiviti yang mencurigakan dan mengelak pertahanan titik akhir menunjukkan penglibatan aktor ancaman yang lebih maju.
Membongkar Taktik Serangan Perisian Hasad Senyap
Malware yang ditemui baru-baru ini telah didedahkan oleh penyelidik keselamatan melalui sistem pengesanan pembelajaran mesin termaju – teknologi berkuasa yang meneliti kandungan pelaksanaan skrip PowerShell, membolehkan pengecaman ancaman yang sukar difahami ini. Walau bagaimanapun, di sebalik kejayaan ini, rantaian jangkitan yang tepat dan kompromi awal PowerDrop kekal diselubungi misteri.
Penganalisis membuat spekulasi mengenai kaedah yang berpotensi digunakan oleh penyerang untuk menggunakan skrip PowerDrop. Ini termasuk mengeksploitasi kelemahan, menggunakan e-mel pancingan data untuk menyasarkan mangsa, atau bahkan menggunakan taktik menipu tapak muat turun perisian palsu. Jalan tepat di mana sistem penyusupan PowerDrop masih belum ditentukan. Untuk meningkatkan sifat rahsianya, skrip dikodkan menggunakan Base64, membolehkan ia berfungsi sebagai pintu belakang atau Trojan Akses Jauh (RAT). Teknik canggih ini membolehkan PowerDrop mengelak pengesanan dan mengekalkan kegigihan dalam sistem yang terjejas.
Menyelidiki log sistem membongkar cerapan penting tentang modus operandi PowerDrop. Analisis mendedahkan bahawa skrip berniat jahat itu menggunakan penapis acara WMI yang telah didaftarkan sebelum ini dan pengguna dengan julukan 'SystemPowerManager' yang berbeza dengan berkesan. Malware itu sendiri mencipta mekanisme penyamaran yang bijak ini apabila menjejaskan sistem menggunakan alat baris arahan 'wmic.exe'.
Pendedahan ciri unik PowerDrop memberi penerangan tentang kecanggihan ancaman siber moden. Dengan keupayaannya untuk mengelak pengesanan dan beroperasi secara rahsia dalam sistem yang terjejas, PowerDrop menunjukkan evolusi berterusan dan kepintaran pelakon yang berniat jahat dalam landskap digital.
Industri Aeroangkasa AS Diserang: Pengenalan Perisian Hasad PowerDrop Baharu Tangkapan skrin
