पहिले अज्ञात साइबर खतरा अभिनेताले आफ्नो ध्यान यूएस एयरोस्पेस उद्योग तर्फ निर्देशित गर्दछ नयाँ पत्ता लागेको PowerShell-आधारित मालवेयरलाई PowerDrop भनिन्छ। यो उन्नत मालवेयरले पत्ता लगाउनबाट बच्न विभिन्न भ्रामक युक्तिहरू, एन्कोडिङ प्रविधिहरू, र इन्क्रिप्सन प्रयोग गर्दछ। नाम "PowerDrop" Windows PowerShell उपकरण र प्याडिङको लागि यसको कोडमा समावेश गरिएको "DROP" (DRP) स्ट्रिङमा निर्भरताबाट आएको हो।
PowerDrop वैकल्पिक विधिहरू मार्फत अनधिकृत पहुँच प्राप्त गरेपछि सम्झौता गरिएका नेटवर्कहरूबाट संवेदनशील जानकारी सङ्कलन गर्न डिजाइन गरिएको पोस्ट-शोषण उपकरण हो। Command-and-Control (C2) सर्भरसँग सञ्चार मिलाउन, मालवेयरले इन्टरनेट कन्ट्रोल मेसेज प्रोटोकल (ICMP) इको अनुरोध सन्देशहरूलाई बीकनको रूपमा प्रयोग गर्छ। C2 सर्भरले त्यसपछि एन्क्रिप्टेड आदेशहरू डिकोड गरिएको र सम्झौता गरिएको होस्टमा कार्यान्वयन गरी प्रतिक्रिया दिन्छ। त्यसै गरी, ICMP पिङ सन्देशले यी निर्देशनहरूको नतिजाहरू बाहिर निकाल्ने लक्ष्य राख्छ।
उल्लेखनीय रूपमा, PowerDrop ले PowerShell आदेशहरू कार्यान्वयन गर्न Windows Management Instrumentation (WMI) सेवाको लाभ उठाउँछ, पत्ता लगाउनबाट बच्न "लिभ-अफ-द-ल्याण्ड" प्रविधिहरूको खतरा अभिनेताको प्रयोग प्रदर्शन गर्दछ। जबकि मालवेयर को मूल प्रकृति असाधारण परिष्कृत नहुन सक्छ, संदिग्ध गतिविधिहरु अस्पष्ट गर्न को लागी यसको क्षमता र अन्तिम बिन्दु प्रतिरक्षाहरु को लागी अधिक उन्नत खतरा अभिनेताहरु को संलग्नता को संकेत गर्दछ।
सामग्रीको तालिका
स्टिल्थी मालवेयर आक्रमणको रणनीतिहरू अनावरण गर्दै
भर्खरै पत्ता लगाइएको मालवेयरलाई सुरक्षा अनुसन्धानकर्ताहरूले उन्नत मेसिन लर्निङ पत्ता लगाउने प्रणाली मार्फत प्रकाशमा ल्याएका छन् - शक्तिशाली प्रविधि जसले PowerShell स्क्रिप्ट कार्यान्वयनको सामग्रीको छानबिन गर्छ, यस मायावी खतराको पहिचानलाई सक्षम पार्दै। यद्यपि, यस सफलताको बावजुद, सही संक्रमण श्रृंखला र PowerDrop को प्रारम्भिक सम्झौता रहस्यमा डुबेको छ।
विश्लेषकहरूले PowerDrop स्क्रिप्ट डिप्लोय गर्नका लागि आक्रमणकारीहरूले प्रयोग गर्ने सम्भावित विधिहरूबारे अनुमान गर्छन्। यसमा कमजोरीहरूको शोषण, पीडितहरूलाई लक्षित गर्न फिसिङ इमेलहरू प्रयोग गर्ने, वा नक्कली सफ्टवेयर डाउनलोड साइटहरूको भ्रामक रणनीतिको सहारा लिने समावेश छ। सही बाटो कुन माध्यमबाट PowerDrop घुसपैठ प्रणालीहरू निर्धारण गर्न बाँकी छ। यसको गोप्य प्रकृति बढाउनको लागि, स्क्रिप्टलाई Base64 प्रयोग गरेर इन्कोड गरिएको छ, यसले ब्याकडोर वा रिमोट एक्सेस ट्रोजन (RAT) को रूपमा काम गर्न अनुमति दिन्छ। यो परिष्कृत प्रविधिले PowerDrop लाई पत्ता लगाउनबाट बच्न र सम्झौता प्रणालीहरू भित्र दृढता कायम राख्न सक्षम बनाउँछ।
प्रणाली लगहरू खोल्दा PowerDrop को मोडस अपरेन्डीमा महत्त्वपूर्ण अन्तर्दृष्टिहरू खुल्छ। विश्लेषणले पत्ता लगायो कि मालिसियस स्क्रिप्टले प्रभावकारी रूपमा पहिले दर्ता गरिएका WMI घटना फिल्टरहरू र उपभोक्ताहरूलाई फरक मोनिकर 'SystemPowerManager' को साथ प्रयोग गर्यो। मालवेयरले नै 'wmic.exe' कमाण्ड-लाइन उपकरण प्रयोग गरेर प्रणालीमा सम्झौता गर्दा यो चलाखीपूर्वक छद्म संयन्त्र सिर्जना गर्यो।
PowerDrop को अद्वितीय विशेषताहरूको प्रकटीकरणले आधुनिक-समयको साइबर खतराहरूको परिष्कारमा प्रकाश पार्छ। पत्ता लगाउनबाट बच्न र सम्झौता प्रणालीहरू भित्र लुकाएर सञ्चालन गर्ने क्षमताको साथ, PowerDrop डिजिटल परिदृश्यमा खराब अभिनेताहरूको निरन्तर विकास र सरलताको उदाहरण दिन्छ।
पहिले अज्ञात साइबर खतरा अभिनेताले आफ्नो ध्यान यूएस एयरोस्पेस उद्योग तर्फ निर्देशित गर्दछ नयाँ पत्ता लागेको PowerShell-आधारित मालवेयरलाई PowerDrop भनिन्छ। यो उन्नत मालवेयरले पत्ता लगाउनबाट बच्न विभिन्न भ्रामक युक्तिहरू, एन्कोडिङ प्रविधिहरू, र इन्क्रिप्सन प्रयोग गर्दछ। नाम "PowerDrop" Windows PowerShell उपकरण र प्याडिङको लागि यसको कोडमा समावेश गरिएको "DROP" (DRP) स्ट्रिङमा निर्भरताबाट आएको हो।
PowerDrop वैकल्पिक विधिहरू मार्फत अनधिकृत पहुँच प्राप्त गरेपछि सम्झौता गरिएका नेटवर्कहरूबाट संवेदनशील जानकारी सङ्कलन गर्न डिजाइन गरिएको पोस्ट-शोषण उपकरण हो। कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार मिलाउन, मालवेयरले इन्टरनेट कन्ट्रोल मेसेज प्रोटोकल (ICMP) इको अनुरोध सन्देशहरूलाई बीकनको रूपमा प्रयोग गर्छ। C2 सर्भरले त्यसपछि एन्क्रिप्टेड आदेशहरू डिकोड गरिएको र सम्झौता गरिएको होस्टमा कार्यान्वयन गरी प्रतिक्रिया दिन्छ। त्यसै गरी, ICMP पिङ सन्देशले यी निर्देशनहरूको नतिजाहरू बाहिर निकाल्ने लक्ष्य राख्छ।
उल्लेखनीय रूपमा, PowerDrop ले PowerShell आदेशहरू कार्यान्वयन गर्न Windows Management Instrumentation (WMI) सेवाको लाभ उठाउँछ, पत्ता लगाउनबाट बच्न "लिभ-अफ-द-ल्याण्ड" प्रविधिहरूको खतरा अभिनेताको प्रयोग प्रदर्शन गर्दछ। जबकि मालवेयर को मूल प्रकृति असाधारण परिष्कृत नहुन सक्छ, संदिग्ध गतिविधिहरु अस्पष्ट गर्न को लागी यसको क्षमता र अन्तिम बिन्दु प्रतिरक्षाहरु को लागी अधिक उन्नत खतरा अभिनेताहरु को संलग्नता को संकेत गर्दछ।
स्टिल्थी मालवेयर आक्रमणको रणनीतिहरू अनावरण गर्दै
भर्खरै पत्ता लगाइएको मालवेयरलाई सुरक्षा अनुसन्धानकर्ताहरूले उन्नत मेसिन लर्निङ पत्ता लगाउने प्रणाली मार्फत प्रकाशमा ल्याएका छन् - शक्तिशाली टेक्नोलोजी जसले PowerShell स्क्रिप्ट कार्यान्वयनको सामग्रीको छानबिन गर्छ, यस मायावी खतराको पहिचानलाई सक्षम पार्दै। यद्यपि, यस सफलताको बावजुद, सही संक्रमण श्रृंखला र PowerDrop को प्रारम्भिक सम्झौता रहस्यमा डुबेको छ।
विश्लेषकहरूले PowerDrop स्क्रिप्ट डिप्लोय गर्नका लागि आक्रमणकारीहरूले प्रयोग गर्ने सम्भावित विधिहरूबारे अनुमान गर्छन्। यसमा कमजोरीहरूको शोषण, पीडितहरूलाई लक्षित गर्न फिसिङ इमेलहरू प्रयोग गर्ने, वा नक्कली सफ्टवेयर डाउनलोड साइटहरूको भ्रामक रणनीतिको सहारा लिने समावेश छ। सही बाटो कुन माध्यमबाट PowerDrop घुसपैठ प्रणालीहरू निर्धारण गर्न बाँकी छ। यसको गोप्य प्रकृति बढाउनको लागि, स्क्रिप्टलाई Base64 प्रयोग गरेर इन्कोड गरिएको छ, यसले ब्याकडोर वा रिमोट एक्सेस ट्रोजन (RAT) को रूपमा काम गर्न अनुमति दिन्छ। यो परिष्कृत प्रविधिले PowerDrop लाई पत्ता लगाउनबाट बच्न र सम्झौता प्रणालीहरू भित्र दृढता कायम राख्न सक्षम बनाउँछ।
प्रणाली लगहरू खोल्दा PowerDrop को मोडस अपरेन्डीमा महत्त्वपूर्ण अन्तर्दृष्टिहरू खुल्छ। विश्लेषणले पत्ता लगायो कि मालिसियस स्क्रिप्टले प्रभावकारी रूपमा पहिले दर्ता गरिएका WMI घटना फिल्टरहरू र उपभोक्ताहरूलाई फरक मोनिकर 'SystemPowerManager' प्रयोग गरेको थियो। मालवेयरले नै 'wmic.exe' कमाण्ड-लाइन उपकरण प्रयोग गरेर प्रणालीमा सम्झौता गर्दा यो चलाखीपूर्वक छद्म संयन्त्र सिर्जना गर्यो।
PowerDrop को अद्वितीय विशेषताहरूको प्रकटीकरणले आधुनिक-समयको साइबर खतराहरूको परिष्कारमा प्रकाश पार्छ। पत्ता लगाउनबाट जोगिन र सम्झौता प्रणालीहरू भित्र लुकाएर सञ्चालन गर्ने क्षमताको साथ, PowerDrop ले डिजिटल परिदृश्यमा खराब अभिनेताहरूको निरन्तर विकास र सरलताको उदाहरण दिन्छ।
युएस एयरोस्पेस उद्योग आक्रमण अन्तर्गत: नयाँ पावरड्रप मालवेयरको परिचय स्क्रिनसटहरू
