Un actor de amenințări cibernetice neidentificat anterior își îndreaptă atenția către industria aerospațială din SUA prin implementarea unui malware nou descoperit, bazat pe PowerShell, numit PowerDrop . Acest malware avansat utilizează diverse tactici înșelătoare, tehnici de codare și criptare pentru a evita detectarea. Numele „PowerDrop” derivă din dependența sa de instrumentul Windows PowerShell și de șirul „DROP” (DRP) încorporat în codul său pentru umplutură.
PowerDrop este un instrument de post-exploatare conceput pentru a colecta informații sensibile din rețelele compromise după obținerea accesului neautorizat prin metode alternative. Pentru a stabili comunicarea cu un server Command-and-Control (C2), malware-ul folosește mesaje de solicitare ecou ICMP (Internet Control Message Protocol) ca semnalizatoare. Serverul C2 răspunde apoi cu comenzi criptate decodificate și executate pe gazda compromisă. În mod similar, un mesaj ping ICMP urmărește să exfiltreze rezultatele acestor instrucțiuni.
În special, PowerDrop folosește serviciul Windows Management Instrumentation (WMI) pentru a executa comenzile PowerShell, arătând utilizarea de către actorul amenințării a tehnicilor „de viață din pământ” pentru a evita detectarea. În timp ce natura de bază a malware-ului poate să nu fie excepțional de sofisticată, capacitatea sa de a disimula activitățile suspecte și de a evita apărarea punctelor finale indică implicarea unor actori mai avansați ai amenințărilor.
Cuprins
Dezvăluirea tacticilor atacului malware ascuns
Malware-ul descoperit recent a fost scos la lumină de cercetătorii în domeniul securității printr-un sistem avansat de detectare a învățării automate – o tehnologie puternică care analizează conținutul execuțiilor de script PowerShell, permițând identificarea acestei amenințări evazive. Cu toate acestea, în ciuda acestei descoperiri, lanțul exact de infecție și compromisul inițial al PowerDrop rămân învăluite în mister.
Analiștii speculează cu privire la metodele potențiale folosite de atacatori pentru a implementa script-ul PowerDrop. Acestea includ exploatarea vulnerabilităților, utilizarea e-mailurilor de phishing pentru a viza victimele sau chiar recurgerea la tactica înșelătoare a site-urilor de descărcare de software falsificate. Calea exactă prin care PowerDrop a infiltrat sistemele nu a fost încă stabilită. Pentru a-și spori natura ascunsă, scriptul este codificat folosind Base64, permițându-i să funcționeze ca un backdoor sau ca troian de acces la distanță (RAT) . Această tehnică sofisticată permite PowerDrop să evite detectarea și să mențină persistența în sistemele compromise.
Aprofundarea în jurnalele de sistem dezvăluie informații cruciale asupra modus operandi al PowerDrop. Analiza a arătat că scriptul rău intenționat a folosit eficient filtrele de evenimente WMI înregistrate anterior și consumatorii cu numele distinct „SystemPowerManager”. Malware-ul însuși a creat acest mecanism camuflat inteligent la compromiterea sistemului folosind instrumentul de linie de comandă „wmic.exe”.
Dezvăluirea caracteristicilor unice ale PowerDrop aruncă lumină asupra complexității amenințărilor cibernetice moderne. Cu capacitatea sa de a evita detectarea și de a opera în mod ascuns în sistemele compromise, PowerDrop exemplifică evoluția constantă și ingeniozitatea actorilor rău intenționați în peisajul digital.
Un actor de amenințări cibernetice neidentificat anterior își îndreaptă atenția către industria aerospațială din SUA prin implementarea unui malware nou descoperit, bazat pe PowerShell, numit PowerDrop. Acest malware avansat utilizează diverse tactici înșelătoare, tehnici de codare și criptare pentru a evita detectarea. Numele „PowerDrop” derivă din dependența sa de instrumentul Windows PowerShell și de șirul „DROP” (DRP) încorporat în codul său pentru umplutură.
PowerDrop este un instrument de post-exploatare conceput pentru a colecta informații sensibile din rețelele compromise după obținerea accesului neautorizat prin metode alternative. Pentru a stabili comunicarea cu un server Command-and-Control (C2), programul malware folosește mesaje de solicitare ecou ICMP (Internet Control Message Protocol) ca semnalizatoare. Serverul C2 răspunde apoi cu comenzi criptate decodate și executate pe gazda compromisă. În mod similar, un mesaj ping ICMP urmărește să exfiltreze rezultatele acestor instrucțiuni.
În special, PowerDrop folosește serviciul Windows Management Instrumentation (WMI) pentru a executa comenzile PowerShell, arătând utilizarea de către actorul amenințării a tehnicilor „de viață din pământ” pentru a evita detectarea. În timp ce natura de bază a malware-ului poate să nu fie excepțional de sofisticată, capacitatea sa de a disimula activitățile suspecte și de a evita apărarea punctelor finale indică implicarea unor actori mai avansați ai amenințărilor.
Dezvăluirea tacticilor atacului malware ascuns
Malware-ul descoperit recent a fost scos la lumină de cercetătorii în domeniul securității printr-un sistem avansat de detectare a învățării automate – o tehnologie puternică care analizează conținutul execuțiilor de script PowerShell, permițând identificarea acestei amenințări evazive. Cu toate acestea, în ciuda acestei descoperiri, lanțul exact de infecție și compromisul inițial al PowerDrop rămân învăluite în mister.
Analiștii speculează cu privire la metodele potențiale folosite de atacatori pentru a implementa script-ul PowerDrop. Acestea includ exploatarea vulnerabilităților, utilizarea e-mailurilor de phishing pentru a viza victimele sau chiar recurgerea la tactica înșelătoare a site-urilor de descărcare de software falsificate. Calea exactă prin care PowerDrop a infiltrat sistemele nu a fost încă stabilită. Pentru a-și spori natura ascunsă, scriptul este codificat folosind Base64, permițându-i să funcționeze ca un backdoor sau un troian de acces la distanță (RAT). Această tehnică sofisticată permite PowerDrop să evite detectarea și să mențină persistența în sistemele compromise.
Aprofundarea în jurnalele de sistem dezvăluie informații cruciale asupra modus operandi al PowerDrop. Analiza a arătat că scriptul rău intenționat a folosit eficient filtrele de evenimente WMI înregistrate anterior și consumatorii cu numele distinct „SystemPowerManager”. Malware-ul însuși a creat acest mecanism camuflat inteligent la compromiterea sistemului folosind instrumentul de linie de comandă „wmic.exe”.
Dezvăluirea caracteristicilor unice ale PowerDrop aruncă lumină asupra complexității amenințărilor cibernetice moderne. Cu capacitatea sa de a evita detectarea și de a opera în mod ascuns în sistemele compromise, PowerDrop exemplifică evoluția constantă și ingeniozitatea actorilor rău intenționați în peisajul digital.
Industria aerospațială din SUA atacată: introducerea noului malware PowerDrop de capturi de ecran
