Een eerder onbekende cyberdreigingsacteur richt hun aandacht op de Amerikaanse lucht- en ruimtevaartindustrie door een nieuw ontdekte op PowerShell gebaseerde malware genaamd PowerDrop in te zetten. Deze geavanceerde malware maakt gebruik van verschillende misleidende tactieken, coderingstechnieken en codering om detectie te voorkomen. De naam "PowerDrop" is afgeleid van de afhankelijkheid van de Windows PowerShell-tool en de tekenreeks "DROP" (DRP) die is opgenomen in de code voor opvulling.
PowerDrop is een post-exploitatietool die is ontworpen om gevoelige informatie van gecompromitteerde netwerken te verzamelen nadat ongeautoriseerde toegang is verkregen via alternatieve methoden. Om de communicatie met een Command-and-Control (C2)-server tot stand te brengen, gebruikt de malware ICMP-echoverzoekberichten (Internet Control Message Protocol) als bakens. De C2-server reageert vervolgens met versleutelde opdrachten die worden gedecodeerd en uitgevoerd op de gecompromitteerde host. Evenzo heeft een ICMP-pingbericht tot doel de resultaten van deze instructies te exfiltreren.
Met name maakt PowerDrop gebruik van de Windows Management Instrumentation (WMI) -service om de PowerShell-opdrachten uit te voeren, wat het gebruik van "living-off-the-land" -technieken door de bedreigingsactor demonstreert om detectie te omzeilen. Hoewel de kern van de malware misschien niet uitzonderlijk geavanceerd is, wijst het vermogen om verdachte activiteiten te verdoezelen en de verdediging van eindpunten te omzeilen op de betrokkenheid van meer geavanceerde bedreigingsactoren.
Inhoudsopgave
Onthulling van de tactiek van de heimelijke malware-aanval
De onlangs ontdekte malware is door beveiligingsonderzoekers aan het licht gebracht via een geavanceerd machine learning-detectiesysteem - krachtige technologie die de inhoud van PowerShell-scriptuitvoeringen nauwkeurig onderzoekt, waardoor de identificatie van deze ongrijpbare dreiging mogelijk wordt. Ondanks deze doorbraak blijven de exacte infectieketen en het aanvankelijke compromis van PowerDrop echter in mysterie gehuld.
Analisten speculeren over de mogelijke methoden die door de aanvallers worden gebruikt om het PowerDrop-script in te zetten. Deze omvatten het misbruiken van kwetsbaarheden, het gebruik van phishing-e-mails om slachtoffers te targeten, of zelfs het gebruik van de misleidende tactiek van vervalste softwaredownloadsites. De exacte weg waarlangs PowerDrop systemen infiltreerde, moet nog worden bepaald. Om het geheime karakter ervan te versterken, is het script gecodeerd met Base64, waardoor het kan functioneren als een backdoor of Remote Access Trojan (RAT) . Deze geavanceerde techniek stelt PowerDrop in staat om detectie te omzeilen en persistentie te behouden binnen gecompromitteerde systemen.
Door in de systeemlogboeken te graven, worden cruciale inzichten in de modus operandi van PowerDrop ontrafeld. Uit de analyse bleek dat het kwaadaardige script effectief gebruik maakte van eerder geregistreerde WMI-gebeurtenisfilters en consumenten met de duidelijke bijnaam 'SystemPowerManager'. De malware creëerde dit slim gecamoufleerde mechanisme zelf door het systeem te compromitteren met behulp van het opdrachtregelprogramma 'wmic.exe'.
De onthulling van de unieke kenmerken van PowerDrop werpt licht op de verfijning van moderne cyberdreigingen. Met zijn vermogen om detectie te omzeilen en heimelijk te opereren binnen gecompromitteerde systemen, is PowerDrop een voorbeeld van de voortdurende evolutie en vindingrijkheid van kwaadwillende actoren in het digitale landschap.
Een eerder onbekende cyberdreigingsacteur richt hun aandacht op de Amerikaanse lucht- en ruimtevaartindustrie door een nieuw ontdekte op PowerShell gebaseerde malware genaamd PowerDrop in te zetten. Deze geavanceerde malware maakt gebruik van verschillende misleidende tactieken, coderingstechnieken en codering om detectie te voorkomen. De naam "PowerDrop" is afgeleid van de afhankelijkheid van de Windows PowerShell-tool en de tekenreeks "DROP" (DRP) die is opgenomen in de code voor opvulling.
PowerDrop is een post-exploitatietool die is ontworpen om gevoelige informatie van gecompromitteerde netwerken te verzamelen nadat ongeautoriseerde toegang is verkregen via alternatieve methoden. Om de communicatie met een Command-and-Control (C2)-server tot stand te brengen, gebruikt de malware ICMP-echoverzoekberichten (Internet Control Message Protocol) als bakens. De C2-server reageert vervolgens met versleutelde opdrachten die worden gedecodeerd en uitgevoerd op de gecompromitteerde host. Evenzo heeft een ICMP-pingbericht tot doel de resultaten van deze instructies te exfiltreren.
Met name maakt PowerDrop gebruik van de Windows Management Instrumentation (WMI) -service om de PowerShell-opdrachten uit te voeren, wat het gebruik van "living-off-the-land" -technieken door de bedreigingsactor demonstreert om detectie te omzeilen. Hoewel de kern van de malware misschien niet uitzonderlijk geavanceerd is, wijst het vermogen om verdachte activiteiten te verdoezelen en de verdediging van eindpunten te omzeilen op de betrokkenheid van meer geavanceerde bedreigingsactoren.
Onthulling van de tactiek van de heimelijke malware-aanval
De onlangs ontdekte malware is door beveiligingsonderzoekers aan het licht gebracht via een geavanceerd machine learning-detectiesysteem - krachtige technologie die de inhoud van PowerShell-scriptuitvoeringen nauwkeurig onderzoekt, waardoor deze ongrijpbare dreiging kan worden geïdentificeerd. Ondanks deze doorbraak blijven de exacte infectieketen en het aanvankelijke compromis van PowerDrop echter in mysterie gehuld.
Analisten speculeren over de mogelijke methoden die door de aanvallers worden gebruikt om het PowerDrop-script in te zetten. Deze omvatten het misbruiken van kwetsbaarheden, het gebruik van phishing-e-mails om slachtoffers te targeten, of zelfs het gebruik van de misleidende tactiek van vervalste softwaredownloadsites. De exacte weg waarlangs PowerDrop systemen infiltreerde, moet nog worden bepaald. Om het geheime karakter ervan te versterken, is het script gecodeerd met Base64, waardoor het kan functioneren als een achterdeur of Remote Access Trojan (RAT). Deze geavanceerde techniek stelt PowerDrop in staat om detectie te omzeilen en persistentie te behouden binnen gecompromitteerde systemen.
Door in de systeemlogboeken te graven, worden cruciale inzichten in de modus operandi van PowerDrop ontrafeld. Uit de analyse bleek dat het kwaadaardige script effectief gebruik maakte van eerder geregistreerde WMI-gebeurtenisfilters en consumenten met de duidelijke bijnaam 'SystemPowerManager'. De malware creëerde dit slim gecamoufleerde mechanisme zelf door het systeem te compromitteren met behulp van het opdrachtregelprogramma 'wmic.exe'.
De onthulling van de unieke kenmerken van PowerDrop werpt licht op de verfijning van moderne cyberdreigingen. Met zijn vermogen om detectie te omzeilen en heimelijk te opereren binnen gecompromitteerde systemen, is PowerDrop een voorbeeld van de voortdurende evolutie en vindingrijkheid van kwaadwillende actoren in het digitale landschap.
Amerikaanse lucht- en ruimtevaartindustrie onder vuur: de introductie van nieuwe PowerDrop-malware schermafbeeldingen
