Ранее неизвестный субъект киберугроз обращает свое внимание на аэрокосмическую промышленность США, развертывая недавно обнаруженную вредоносную программу на основе PowerShell под названием PowerDrop . Эта передовая вредоносная программа использует различные обманные тактики, методы кодирования и шифрования, чтобы избежать обнаружения. Название «PowerDrop» происходит от его зависимости от инструмента Windows PowerShell и строки «DROP» (DRP), включенной в его код для заполнения.
PowerDrop — это инструмент постэксплуатации, предназначенный для сбора конфиденциальной информации из скомпрометированных сетей после получения несанкционированного доступа альтернативными методами. Для установления связи с сервером управления и контроля (C2) вредоносное ПО использует эхо-запросы протокола ICMP (Internet Control Message Protocol) в качестве маяков. Затем сервер C2 отвечает зашифрованными командами, декодированными и выполняемыми на скомпрометированном хосте. Точно так же сообщение ICMP ping предназначено для извлечения результатов этих инструкций.
Примечательно, что PowerDrop использует службу Windows Management Instrumentation (WMI) для выполнения команд PowerShell, демонстрируя использование субъектом угрозы методов «живения за пределами земли», чтобы избежать обнаружения. Хотя основная природа вредоносного ПО не может быть исключительно сложной, его способность скрывать подозрительные действия и обходить средства защиты конечных точек указывает на участие более продвинутых злоумышленников.
Оглавление
Раскрытие тактики скрытой атаки вредоносного ПО
Недавно обнаруженная вредоносная программа была обнаружена исследователями безопасности с помощью передовой системы обнаружения машинного обучения — мощной технологии, которая тщательно изучает содержимое выполнения сценариев PowerShell, позволяя идентифицировать эту неуловимую угрозу. Однако, несмотря на этот прорыв, точная цепочка заражения и первоначальная компрометация PowerDrop остаются тайной.
Аналитики размышляют о возможных методах, используемых злоумышленниками для развертывания скрипта PowerDrop. К ним относятся использование уязвимостей, использование фишинговых электронных писем для целевых жертв или даже использование обманной тактики поддельных сайтов загрузки программного обеспечения. Точный путь, по которому PowerDrop проник в системы, еще предстоит определить. Чтобы усилить свою скрытность, скрипт кодируется с использованием Base64, что позволяет ему функционировать как бэкдор или троян удаленного доступа (RAT) . Этот сложный метод позволяет PowerDrop избегать обнаружения и сохранять стойкость в скомпрометированных системах.
Изучая системные журналы, можно получить важные сведения о методах работы PowerDrop. Анализ показал, что вредоносный сценарий эффективно использовал ранее зарегистрированные фильтры событий WMI и потребителей с особым псевдонимом «SystemPowerManager». Сама вредоносная программа создала этот искусно замаскированный механизм после компрометации системы с помощью инструмента командной строки wmic.exe.
Раскрытие уникальных характеристик PowerDrop проливает свет на изощренность современных киберугроз. PowerDrop, способный избегать обнаружения и действовать тайно в скомпрометированных системах, служит примером постоянной эволюции и изобретательности злоумышленников в цифровой среде.
Ранее неизвестный субъект киберугроз обращает свое внимание на аэрокосмическую промышленность США, развертывая недавно обнаруженную вредоносную программу на основе PowerShell под названием PowerDrop. Эта передовая вредоносная программа использует различные обманные тактики, методы кодирования и шифрования, чтобы избежать обнаружения. Название «PowerDrop» происходит от его зависимости от инструмента Windows PowerShell и строки «DROP» (DRP), включенной в его код для заполнения.
PowerDrop — это инструмент постэксплуатации, предназначенный для сбора конфиденциальной информации из скомпрометированных сетей после получения несанкционированного доступа альтернативными методами. Для установления связи с сервером управления и контроля (C2) вредоносное ПО использует эхо-запросы протокола ICMP (Internet Control Message Protocol) в качестве маяков. Затем сервер C2 отвечает зашифрованными командами, декодированными и выполняемыми на скомпрометированном хосте. Точно так же сообщение ICMP ping предназначено для извлечения результатов этих инструкций.
Примечательно, что PowerDrop использует службу Windows Management Instrumentation (WMI) для выполнения команд PowerShell, демонстрируя использование субъектом угрозы методов «живения за пределами земли», чтобы избежать обнаружения. Хотя основная природа вредоносного ПО не может быть исключительно сложной, его способность скрывать подозрительные действия и обходить средства защиты конечных точек указывает на участие более продвинутых злоумышленников.
Раскрытие тактики скрытой атаки вредоносного ПО
Недавно обнаруженная вредоносная программа была обнаружена исследователями безопасности с помощью передовой системы обнаружения машинного обучения — мощной технологии, которая тщательно изучает содержимое выполнения скриптов PowerShell, позволяя идентифицировать эту неуловимую угрозу. Однако, несмотря на этот прорыв, точная цепочка заражения и первоначальная компрометация PowerDrop остаются тайной.
Аналитики размышляют о возможных методах, используемых злоумышленниками для развертывания скрипта PowerDrop. К ним относятся использование уязвимостей, использование фишинговых электронных писем для целевых жертв или даже использование обманной тактики поддельных сайтов загрузки программного обеспечения. Точный путь, по которому PowerDrop проник в системы, еще предстоит определить. Чтобы повысить скрытность, скрипт кодируется с использованием Base64, что позволяет ему функционировать как бэкдор или троян удаленного доступа (RAT). Этот сложный метод позволяет PowerDrop избегать обнаружения и сохранять стойкость в скомпрометированных системах.
Изучая системные журналы, можно получить важные сведения о методах работы PowerDrop. Анализ показал, что вредоносный сценарий эффективно использовал ранее зарегистрированные фильтры событий WMI и потребителей с особым псевдонимом «SystemPowerManager». Сама вредоносная программа создала этот искусно замаскированный механизм после компрометации системы с помощью инструмента командной строки wmic.exe.
Раскрытие уникальных характеристик PowerDrop проливает свет на изощренность современных киберугроз. PowerDrop, способный избегать обнаружения и действовать тайно в скомпрометированных системах, служит примером постоянной эволюции и изобретательности злоумышленников в цифровой среде.
Аэрокосмическая промышленность США под атакой: появление нового вредоносного ПО PowerDrop Скриншотов
