Prej neidentificirani akter kibernetske grožnje usmerja njihovo pozornost na ameriško vesoljsko industrijo z uvedbo na novo odkrite zlonamerne programske opreme PowerDrop, ki temelji na PowerShell . Ta napredna zlonamerna programska oprema uporablja različne zavajajoče taktike, tehnike kodiranja in šifriranje, da se izogne odkritju. Ime "PowerDrop" izhaja iz odvisnosti od orodja Windows PowerShell in niza "DROP" (DRP), vključenega v kodo za oblazinjenje.
PowerDrop je orodje po izkoriščanju, zasnovano za zbiranje občutljivih informacij iz ogroženih omrežij po pridobitvi nepooblaščenega dostopa z alternativnimi metodami. Za vzpostavitev komunikacije s strežnikom Command-and-Control (C2) zlonamerna programska oprema kot svetilnike uporablja sporočila odmevnih zahtev protokola ICMP (Internet Control Message Protocol). Strežnik C2 se nato odzove s šifriranimi ukazi, ki so dekodirani in izvedeni na ogroženem gostitelju. Podobno je namen sporočila ping ICMP izluščiti rezultate teh navodil.
Predvsem PowerDrop izkorišča storitev Windows Management Instrumentation (WMI) za izvajanje ukazov PowerShell, ki prikazuje uporabo tehnik grožnje s tehnikami "življenja zunaj zemlje", da se izogne odkrivanju. Čeprav jedro zlonamerne programske opreme morda ni izjemno sofisticirano, njena zmožnost prikritja sumljivih dejavnosti in izogibanja obrambi končne točke kaže na vpletenost naprednejših akterjev groženj.
Kazalo
Razkrivanje taktike prikritega napada zlonamerne programske opreme
Nedavno odkrito zlonamerno programsko opremo so varnostni raziskovalci razkrili prek naprednega sistema za zaznavanje strojnega učenja – zmogljive tehnologije, ki natančno pregleduje vsebino izvajanja skriptov PowerShell in omogoča prepoznavanje te izmuzljive grožnje. Vendar kljub temu preboju natančna veriga okužb in začetni kompromis PowerDropa ostajata zavita v tančico skrivnosti.
Analitiki špekulirajo o možnih metodah, ki jih napadalci uporabljajo za uvedbo skripta PowerDrop. Ti vključujejo izkoriščanje ranljivosti, uporabo lažnih e-poštnih sporočil za ciljanje na žrtve ali celo zatekanje k zavajajočim taktikam lažnih spletnih mest za prenos programske opreme. Natančna pot, po kateri se je PowerDrop infiltriral v sisteme, še ni določena. Da bi izboljšali svojo prikrito naravo, je skript kodiran z uporabo Base64, kar mu omogoča, da deluje kot backdoor ali trojanec za oddaljeni dostop (RAT) . Ta sofisticirana tehnika omogoča PowerDropu, da se izogne odkrivanju in ohrani obstojnost znotraj ogroženih sistemov.
Ko se poglobimo v sistemske dnevnike, razkrijemo ključne vpoglede v način delovanja PowerDrop. Analiza je pokazala, da je zlonamerni skript učinkovito uporabil predhodno registrirane filtre dogodkov WMI in porabnike z ločenim vzdevkom 'SystemPowerManager'. Zlonamerna programska oprema je sama ustvarila ta spretno zakamufliran mehanizem, ko je ogrozila sistem z uporabo orodja ukazne vrstice 'wmic.exe'.
Razkritje edinstvenih značilnosti PowerDropa osvetljuje prefinjenost sodobnih kibernetskih groženj. S svojo zmožnostjo izogibanja odkrivanju in prikritega delovanja znotraj ogroženih sistemov PowerDrop ponazarja nenehni razvoj in iznajdljivost zlonamernih akterjev v digitalnem okolju.
Prej neidentificirani akter kibernetske grožnje usmerja njihovo pozornost na ameriško vesoljsko industrijo z uvedbo na novo odkrite zlonamerne programske opreme PowerDrop, ki temelji na PowerShell. Ta napredna zlonamerna programska oprema uporablja različne zavajajoče taktike, tehnike kodiranja in šifriranje, da se izogne odkritju. Ime "PowerDrop" izhaja iz odvisnosti od orodja Windows PowerShell in niza "DROP" (DRP), vključenega v kodo za oblazinjenje.
PowerDrop je orodje po izkoriščanju, zasnovano za zbiranje občutljivih informacij iz ogroženih omrežij po pridobitvi nepooblaščenega dostopa z alternativnimi metodami. Za vzpostavitev komunikacije s strežnikom Command-and-Control (C2) zlonamerna programska oprema uporablja sporočila odmevnih zahtev protokola ICMP (Internet Control Message Protocol) kot svetilnike. Strežnik C2 se nato odzove s šifriranimi ukazi, ki so dekodirani in izvedeni na ogroženem gostitelju. Podobno je namen sporočila ping ICMP izluščiti rezultate teh navodil.
Predvsem PowerDrop izkorišča storitev Windows Management Instrumentation (WMI) za izvajanje ukazov PowerShell, pri čemer akter grožnje prikazuje uporabo tehnik »življenja zunaj zemlje«, da se izogne odkrivanju. Čeprav osnovna narava zlonamerne programske opreme morda ni izjemno sofisticirana, njena zmožnost prikrivanja sumljivih dejavnosti in izogibanja obrambi končne točke kaže na vpletenost naprednejših akterjev groženj.
Razkrivanje taktike prikritega napada zlonamerne programske opreme
Nedavno odkrito zlonamerno programsko opremo so varnostni raziskovalci razkrili prek naprednega sistema za zaznavanje strojnega učenja – zmogljive tehnologije, ki natančno pregleduje vsebino izvajanja skriptov PowerShell in omogoča prepoznavanje te izmuzljive grožnje. Vendar kljub temu preboju natančna veriga okužb in začetni kompromis PowerDropa ostajata zavita v tančico skrivnosti.
Analitiki špekulirajo o možnih metodah, ki jih napadalci uporabljajo za uvedbo skripta PowerDrop. Ti vključujejo izkoriščanje ranljivosti, uporabo lažnih e-poštnih sporočil za ciljanje na žrtve ali celo zatekanje k zavajajočim taktikam lažnih spletnih mest za prenos programske opreme. Natančna pot, po kateri se je PowerDrop infiltriral v sisteme, še ni določena. Da bi izboljšali svojo prikrito naravo, je skript kodiran z uporabo Base64, kar mu omogoča, da deluje kot backdoor ali trojanec za oddaljeni dostop (RAT). Ta sofisticirana tehnika omogoča PowerDropu, da se izogne odkrivanju in ohrani obstojnost znotraj ogroženih sistemov.
Ko se poglobimo v sistemske dnevnike, razkrijemo ključne vpoglede v način delovanja PowerDrop. Analiza je pokazala, da je zlonamerni skript učinkovito uporabil predhodno registrirane filtre dogodkov WMI in porabnike z ločenim vzdevkom 'SystemPowerManager'. Zlonamerna programska oprema je sama ustvarila ta spretno zakamufliran mehanizem, ko je ogrozila sistem z uporabo orodja ukazne vrstice 'wmic.exe'.
Razkritje edinstvenih značilnosti PowerDropa osvetljuje prefinjenost sodobnih kibernetskih groženj. S svojo zmožnostjo izogibanja odkrivanju in prikritega delovanja znotraj ogroženih sistemov PowerDrop ponazarja nenehni razvoj in iznajdljivost zlonamernih akterjev v digitalnem okolju.
Ameriška vesoljska industrija na udaru: Predstavitev nove zlonamerne programske opreme PowerDrop posnetkov zaslona
