Niezidentyfikowany wcześniej cyberprzestępca kieruje swoją uwagę na amerykański przemysł lotniczy, wdrażając nowo odkryte złośliwe oprogramowanie o nazwie PowerDrop oparte na PowerShell . To zaawansowane złośliwe oprogramowanie wykorzystuje różne oszukańcze taktyki, techniki kodowania i szyfrowanie, aby uniknąć wykrycia. Nazwa „PowerDrop” wywodzi się z polegania na narzędziu Windows PowerShell i łańcuchu „DROP” (DRP) włączonym do jego kodu w celu wypełnienia.
PowerDrop to narzędzie poeksploatacyjne przeznaczone do zbierania poufnych informacji z zaatakowanych sieci po uzyskaniu nieautoryzowanego dostępu za pomocą alternatywnych metod. Aby nawiązać komunikację z serwerem Command-and-Control (C2), złośliwe oprogramowanie wykorzystuje komunikaty żądania echa protokołu ICMP (Internet Control Message Protocol) jako sygnały nawigacyjne. Następnie serwer C2 odpowiada zaszyfrowanymi poleceniami, które są dekodowane i wykonywane na zaatakowanym hoście. Podobnie komunikat ping ICMP ma na celu eksfiltrację wyników tych instrukcji.
Warto zauważyć, że PowerDrop wykorzystuje usługę Windows Management Instrumentation (WMI) do wykonywania poleceń PowerShell, pokazując, jak cyberprzestępca wykorzystuje techniki „życia poza granicami kraju” w celu uniknięcia wykrycia. Chociaż podstawowa natura złośliwego oprogramowania może nie być wyjątkowo wyrafinowana, jego zdolność do zaciemniania podejrzanych działań i unikania zabezpieczeń punktów końcowych wskazuje na zaangażowanie bardziej zaawansowanych cyberprzestępców.
Spis treści
Ujawnianie taktyki ukrytego ataku złośliwego oprogramowania
Niedawno odkryte złośliwe oprogramowanie zostało ujawnione przez badaczy bezpieczeństwa za pośrednictwem zaawansowanego systemu wykrywania uczenia maszynowego — potężnej technologii, która analizuje zawartość wykonywania skryptów PowerShell, umożliwiając identyfikację tego nieuchwytnego zagrożenia. Jednak pomimo tego przełomu, dokładny łańcuch infekcji i początkowe zagrożenie PowerDrop pozostają owiane tajemnicą.
Analitycy spekulują na temat potencjalnych metod zastosowanych przez osoby atakujące w celu wdrożenia skryptu PowerDrop. Obejmują one wykorzystywanie luk w zabezpieczeniach, wykorzystywanie e-maili phishingowych do atakowania ofiar, a nawet uciekanie się do zwodniczej taktyki fałszywych witryn pobierania oprogramowania. Dokładna droga, przez którą PowerDrop infiltrował systemy, nie została jeszcze ustalona. Aby wzmocnić swój tajny charakter, skrypt jest kodowany przy użyciu Base64, dzięki czemu może działać jako backdoor lub trojan zdalnego dostępu (RAT) . Ta wyrafinowana technika umożliwia PowerDrop unikanie wykrycia i utrzymywanie trwałości w zaatakowanych systemach.
Zagłębienie się w dzienniki systemowe ujawnia kluczowe informacje na temat sposobu działania PowerDrop. Analiza wykazała, że złośliwy skrypt skutecznie wykorzystywał wcześniej zarejestrowane filtry zdarzeń WMI i konsumentów o wyraźnym pseudonimie „SystemPowerManager”. Złośliwe oprogramowanie samo stworzyło ten sprytnie zakamuflowany mechanizm po włamaniu się do systemu za pomocą narzędzia wiersza poleceń „wmic.exe”.
Odkrycie unikalnych cech PowerDrop rzuca światło na wyrafinowanie współczesnych cyberzagrożeń. Dzięki zdolności do unikania wykrycia i działania potajemnie w zaatakowanych systemach, PowerDrop jest przykładem ciągłej ewolucji i pomysłowości złośliwych aktorów w cyfrowym krajobrazie.
Niezidentyfikowany wcześniej cyberprzestępca kieruje swoją uwagę na amerykański przemysł lotniczy, wdrażając nowo odkryte złośliwe oprogramowanie o nazwie PowerDrop oparte na PowerShell. To zaawansowane złośliwe oprogramowanie wykorzystuje różne oszukańcze taktyki, techniki kodowania i szyfrowanie, aby uniknąć wykrycia. Nazwa „PowerDrop” wywodzi się z polegania na narzędziu Windows PowerShell i łańcuchu „DROP” (DRP) włączonym do jego kodu w celu wypełnienia.
PowerDrop to narzędzie poeksploatacyjne przeznaczone do zbierania poufnych informacji z zaatakowanych sieci po uzyskaniu nieautoryzowanego dostępu za pomocą alternatywnych metod. Aby nawiązać komunikację z serwerem Command-and-Control (C2), złośliwe oprogramowanie wykorzystuje komunikaty żądania echa protokołu ICMP (Internet Control Message Protocol) jako sygnały nawigacyjne. Następnie serwer C2 odpowiada zaszyfrowanymi poleceniami, które są dekodowane i wykonywane na zaatakowanym hoście. Podobnie komunikat ping ICMP ma na celu eksfiltrację wyników tych instrukcji.
Warto zauważyć, że PowerDrop wykorzystuje usługę Windows Management Instrumentation (WMI) do wykonywania poleceń PowerShell, pokazując, jak cyberprzestępca wykorzystuje techniki „życia poza granicami kraju” w celu uniknięcia wykrycia. Chociaż podstawowa natura złośliwego oprogramowania może nie być wyjątkowo wyrafinowana, jego zdolność do zaciemniania podejrzanych działań i unikania zabezpieczeń punktów końcowych wskazuje na zaangażowanie bardziej zaawansowanych cyberprzestępców.
Ujawnianie taktyki ukrytego ataku złośliwego oprogramowania
Niedawno odkryte złośliwe oprogramowanie zostało ujawnione przez badaczy bezpieczeństwa za pośrednictwem zaawansowanego systemu wykrywania uczenia maszynowego — potężnej technologii, która analizuje zawartość wykonywania skryptów PowerShell, umożliwiając identyfikację tego nieuchwytnego zagrożenia. Jednak pomimo tego przełomu, dokładny łańcuch infekcji i początkowe zagrożenie PowerDrop pozostają owiane tajemnicą.
Analitycy spekulują na temat potencjalnych metod zastosowanych przez osoby atakujące w celu wdrożenia skryptu PowerDrop. Obejmują one wykorzystywanie luk w zabezpieczeniach, wykorzystywanie wiadomości phishingowych do atakowania ofiar, a nawet uciekanie się do zwodniczej taktyki fałszywych witryn pobierania oprogramowania. Dokładna droga, przez którą PowerDrop infiltrował systemy, nie została jeszcze ustalona. Aby wzmocnić swój tajny charakter, skrypt jest kodowany przy użyciu Base64, dzięki czemu może działać jako backdoor lub trojan zdalnego dostępu (RAT). Ta wyrafinowana technika umożliwia PowerDrop unikanie wykrycia i utrzymywanie trwałości w zaatakowanych systemach.
Zagłębienie się w dzienniki systemowe ujawnia kluczowe informacje na temat sposobu działania PowerDrop. Analiza wykazała, że złośliwy skrypt skutecznie wykorzystywał wcześniej zarejestrowane filtry zdarzeń WMI i konsumentów o wyraźnym pseudonimie „SystemPowerManager”. Złośliwe oprogramowanie samo stworzyło ten sprytnie zakamuflowany mechanizm po włamaniu się do systemu za pomocą narzędzia wiersza poleceń „wmic.exe”.
Odkrycie unikalnych cech PowerDrop rzuca światło na wyrafinowanie współczesnych cyberzagrożeń. Dzięki zdolności do unikania wykrycia i działania potajemnie w zaatakowanych systemach, PowerDrop jest przykładem ciągłej ewolucji i pomysłowości złośliwych aktorów w cyfrowym krajobrazie.
Amerykański przemysł lotniczy w ataku: wprowadzenie nowego złośliwego oprogramowania PowerDrop zrzutów ekranu
