Doteraz neidentifikovaný aktér kybernetických hrozieb upriamuje ich pozornosť na americký letecký priemysel nasadením novoobjaveného malvéru založeného na PowerShell s názvom PowerDrop . Tento pokročilý malvér využíva rôzne klamlivé taktiky, techniky kódovania a šifrovania, aby sa zabránilo odhaleniu. Názov „PowerDrop“ je odvodený od jeho spoliehania sa na nástroj Windows PowerShell a reťazec „DROP“ (DRP) začlenený do jeho kódu pre výplň.
PowerDrop je post-exploitačný nástroj určený na zhromažďovanie citlivých informácií z napadnutých sietí po získaní neoprávneného prístupu prostredníctvom alternatívnych metód. Na urovnanie komunikácie so serverom Command-and-Control (C2) malvér využíva správy s požiadavkami na odozvu protokolu ICMP (Internet Control Message Protocol) ako signály. Server C2 potom odpovie zašifrovanými príkazmi dekódovanými a vykonanými na napadnutom hostiteľovi. Podobne ICMP ping správa má za cieľ exfiltrovať výsledky týchto inštrukcií.
PowerDrop využíva službu Windows Management Instrumentation (WMI) na spustenie príkazov PowerShell, čím demonštruje, že aktér hrozieb používa techniky „života mimo územia“, aby sa vyhli detekcii. Hoci základná povaha malvéru nemusí byť výnimočne sofistikovaná, jeho schopnosť zahmlievať podozrivé aktivity a vyhýbať sa obrane koncových bodov naznačuje zapojenie pokročilejších aktérov hrozieb.
Obsah
Odhalenie taktiky tajného útoku škodlivého softvéru
Nedávno objavený malvér bol odhalený bezpečnostnými výskumníkmi prostredníctvom pokročilého detekčného systému strojového učenia – výkonnej technológie, ktorá skúma obsah vykonávania skriptov PowerShell a umožňuje identifikovať túto nepolapiteľnú hrozbu. Napriek tomuto prelomu však presný infekčný reťazec a počiatočný kompromis PowerDrop zostávajú zahalené rúškom tajomstva.
Analytici špekulujú o potenciálnych metódach, ktoré útočníci používajú na nasadenie skriptu PowerDrop. Patrí medzi ne zneužívanie zraniteľných miest, využívanie phishingových e-mailov na zacielenie na obete alebo dokonca uchyľovanie sa k klamlivej taktike sfalšovaných stránok na sťahovanie softvéru. Presná cesta, cez ktorú PowerDrop infiltroval systémy, ešte nie je určená. Aby sa zlepšila jeho skrytá povaha, skript je kódovaný pomocou Base64, čo mu umožňuje fungovať ako backdoor alebo trójsky kôň so vzdialeným prístupom (RAT) . Táto sofistikovaná technika umožňuje PowerDropu vyhnúť sa detekcii a udržiavať stálosť v kompromitovaných systémoch.
Ponorenie sa do systémových protokolov odhaľuje kľúčové poznatky o spôsobe fungovania PowerDrop. Analýza odhalila, že škodlivý skript efektívne využíval predtým zaregistrované filtre udalostí WMI a spotrebiteľov s odlišným názvom „SystemPowerManager“. Samotný malvér vytvoril tento šikovne maskovaný mechanizmus pri kompromitácii systému pomocou nástroja príkazového riadka „wmic.exe“.
Odhalenie jedinečných vlastností PowerDrop vrhá svetlo na sofistikovanosť moderných kybernetických hrozieb. Vďaka svojej schopnosti vyhnúť sa detekcii a skryte fungovať v kompromitovaných systémoch je PowerDrop príkladom neustáleho vývoja a vynaliezavosti škodlivých aktérov v digitálnom prostredí.
Predtým neidentifikovaný aktér kybernetických hrozieb upriamuje ich pozornosť na americký letecký priemysel nasadením novoobjaveného malvéru PowerShell s názvom PowerDrop. Tento pokročilý malvér využíva rôzne klamlivé taktiky, techniky kódovania a šifrovania, aby sa zabránilo odhaleniu. Názov „PowerDrop“ je odvodený od jeho spoliehania sa na nástroj Windows PowerShell a reťazec „DROP“ (DRP) začlenený do jeho kódu pre výplň.
PowerDrop je post-exploitačný nástroj určený na zhromažďovanie citlivých informácií z napadnutých sietí po získaní neoprávneného prístupu prostredníctvom alternatívnych metód. Na urovnanie komunikácie so serverom Command-and-Control (C2) malvér využíva správy s požiadavkami na odozvu protokolu ICMP (Internet Control Message Protocol) ako signály. Server C2 potom odpovie zašifrovanými príkazmi dekódovanými a vykonanými na napadnutom hostiteľovi. Podobne ICMP ping správa má za cieľ exfiltrovať výsledky týchto inštrukcií.
PowerDrop využíva službu Windows Management Instrumentation (WMI) na spustenie príkazov PowerShell, čím demonštruje, že aktér hrozieb používa techniky „života mimo územia“, aby sa vyhli detekcii. Hoci základná povaha malvéru nemusí byť výnimočne sofistikovaná, jeho schopnosť zahmlievať podozrivé aktivity a vyhýbať sa obrane koncových bodov naznačuje zapojenie pokročilejších aktérov hrozieb.
Odhalenie taktiky tajného útoku škodlivého softvéru
Nedávno objavený malvér bol odhalený bezpečnostnými výskumníkmi prostredníctvom pokročilého detekčného systému strojového učenia – výkonnej technológie, ktorá skúma obsah vykonávania skriptov PowerShell a umožňuje identifikovať túto nepolapiteľnú hrozbu. Napriek tomuto prelomu však presný infekčný reťazec a počiatočný kompromis PowerDrop zostávajú zahalené rúškom tajomstva.
Analytici špekulujú o potenciálnych metódach, ktoré útočníci používajú na nasadenie skriptu PowerDrop. Patrí medzi ne zneužívanie zraniteľných miest, využívanie phishingových e-mailov na zacielenie na obete alebo dokonca uchyľovanie sa k klamlivej taktike sfalšovaných stránok na sťahovanie softvéru. Presná cesta, cez ktorú PowerDrop infiltroval systémy, ešte nie je určená. Aby sa zlepšila jeho skrytá povaha, skript je kódovaný pomocou Base64, čo mu umožňuje fungovať ako backdoor alebo trójsky kôň so vzdialeným prístupom (RAT). Táto sofistikovaná technika umožňuje PowerDropu vyhnúť sa detekcii a udržiavať stálosť v kompromitovaných systémoch.
Ponorenie sa do systémových protokolov odhaľuje kľúčové poznatky o spôsobe fungovania PowerDrop. Analýza odhalila, že škodlivý skript efektívne využíval predtým zaregistrované filtre udalostí WMI a spotrebiteľov s odlišným názvom „SystemPowerManager“. Samotný malvér vytvoril tento šikovne maskovaný mechanizmus pri kompromitácii systému pomocou nástroja príkazového riadka „wmic.exe“.
Odhalenie jedinečných vlastností PowerDrop vrhá svetlo na sofistikovanosť moderných kybernetických hrozieb. Vďaka svojej schopnosti vyhnúť sa detekcii a skryte fungovať v rámci kompromitovaných systémov je PowerDrop príkladom neustáleho vývoja a vynaliezavosti škodlivých aktérov v digitálnom prostredí.
Americký letecký priemysel pod útokom: Predstavenie nového malvéru PowerDrop snímok obrazovky
