Një aktor i paidentifikuar më parë i kërcënimeve kibernetike e drejton vëmendjen e tyre drejt industrisë së hapësirës ajrore të SHBA-së duke vendosur një malware të sapo zbuluar të bazuar në PowerShell të quajtur PowerDrop . Ky malware i avancuar përdor taktika të ndryshme mashtruese, teknika kodimi dhe kriptim për të shmangur zbulimin. Emri "PowerDrop" rrjedh nga mbështetja e tij në mjetin Windows PowerShell dhe vargut "DROP" (DRP) të inkorporuar në kodin e tij për mbushje.
PowerDrop është një mjet post-shfrytëzimi i krijuar për të mbledhur informacione të ndjeshme nga rrjetet e komprometuara pas fitimit të aksesit të paautorizuar përmes metodave alternative. Për të rregulluar komunikimin me një server Command-and-Control (C2), malware përdor mesazhet e kërkesës së jehonës së Protokollit të Kontrollit të Internetit (ICMP) si beacons. Serveri C2 më pas përgjigjet me komanda të koduara të deshifruara dhe të ekzekutuara në hostin e komprometuar. Në mënyrë të ngjashme, një mesazh ping i ICMP synon të nxjerrë rezultatet e këtyre udhëzimeve.
Veçanërisht, PowerDrop përdor shërbimin e Windows Management Instrumentation (WMI) për të ekzekutuar komandat PowerShell, duke shfaqur përdorimin e teknikave të "living-off-the-toke" nga aktori i kërcënimit për të shmangur zbulimin. Ndërsa natyra thelbësore e malware mund të mos jetë jashtëzakonisht e sofistikuar, aftësia e tij për të errësuar aktivitetet e dyshimta dhe për të shmangur mbrojtjen e pikës fundore tregon përfshirjen e aktorëve më të avancuar të kërcënimit.
Tabela e Përmbajtjes
Zbulimi i taktikave të sulmit të fshehtë të malware
Malware-i i zbuluar së fundmi është nxjerrë në dritë nga studiues të sigurisë nëpërmjet një sistemi të avancuar të zbulimit të mësimit të makinerive – teknologji e fuqishme që shqyrton me kujdes përmbajtjen e ekzekutimeve të skripteve PowerShell, duke mundësuar identifikimin e këtij kërcënimi të pakapshëm. Sidoqoftë, pavarësisht këtij zbulimi, zinxhiri i saktë i infeksionit dhe kompromisi fillestar i PowerDrop mbeten të mbuluara me mister.
Analistët spekulojnë mbi metodat e mundshme të përdorura nga sulmuesit për të vendosur skriptin PowerDrop. Këto përfshijnë shfrytëzimin e dobësive, përdorimin e email-eve phishing për të synuar viktimat, apo edhe përdorimin e taktikave mashtruese të faqeve të shkarkimit të softuerit të falsifikuar. Rruga e saktë përmes së cilës PowerDrop infiltroi sistemet ende nuk është përcaktuar. Për të përmirësuar natyrën e tij të fshehtë, skripti është i koduar duke përdorur Base64, duke e lejuar atë të funksionojë si një "backdoor " ose "Trojan i qasjes në distancë" (RAT) . Kjo teknikë e sofistikuar mundëson që PowerDrop të shmangë zbulimin dhe të ruajë qëndrueshmërinë brenda sistemeve të komprometuara.
Hulumtimi në regjistrat e sistemit zbulon njohuri thelbësore në modus operandi të PowerDrop. Analiza zbuloi se skripti me qëllim të keq përdori në mënyrë efektive filtrat e ngjarjeve WMI të regjistruara më parë dhe konsumatorët me emërtimin e veçantë 'SystemPowerManager'. Vetë malware-i krijoi këtë mekanizëm të kamufluar me zgjuarsi kur kompromentoi sistemin duke përdorur mjetin e linjës së komandës 'wmic.exe'.
Zbulimi i karakteristikave unike të PowerDrop hedh dritë mbi sofistikimin e kërcënimeve kibernetike moderne. Me aftësinë e tij për të shmangur zbulimin dhe për të vepruar në mënyrë të fshehtë brenda sistemeve të komprometuara, PowerDrop ilustron evolucionin e vazhdueshëm dhe zgjuarsinë e aktorëve keqdashës në peizazhin dixhital.
Një aktor i paidentifikuar më parë i kërcënimit kibernetik e drejton vëmendjen e tyre drejt industrisë së hapësirës ajrore në SHBA duke vendosur një malware të sapo zbuluar me bazë PowerShell të quajtur PowerDrop. Ky malware i avancuar përdor taktika të ndryshme mashtruese, teknika kodimi dhe kriptim për të shmangur zbulimin. Emri "PowerDrop" rrjedh nga mbështetja e tij në mjetin Windows PowerShell dhe vargun "DROP" (DRP) të inkorporuar në kodin e tij për mbushje.
PowerDrop është një mjet post-shfrytëzimi i krijuar për të mbledhur informacione të ndjeshme nga rrjetet e komprometuara pas fitimit të aksesit të paautorizuar përmes metodave alternative. Për të rregulluar komunikimin me një server Command-and-Control (C2), malware përdor mesazhet e kërkesës së jehonës së Protokollit të Kontrollit të Internetit (ICMP) si beacons. Serveri C2 më pas përgjigjet me komanda të koduara të deshifruara dhe të ekzekutuara në hostin e komprometuar. Në mënyrë të ngjashme, një mesazh ping i ICMP synon të nxjerrë rezultatet e këtyre udhëzimeve.
Veçanërisht, PowerDrop përdor shërbimin e Windows Management Instrumentation (WMI) për të ekzekutuar komandat PowerShell, duke shfaqur përdorimin e teknikave "living-off-the-toke" nga aktori i kërcënimit për të shmangur zbulimin. Ndërsa natyra thelbësore e malware mund të mos jetë jashtëzakonisht e sofistikuar, aftësia e tij për të errësuar aktivitetet e dyshimta dhe për të shmangur mbrojtjen e pikës fundore tregon përfshirjen e aktorëve më të avancuar të kërcënimit.
Zbulimi i taktikave të sulmit të fshehtë të malware
Malware-i i zbuluar së fundmi është nxjerrë në dritë nga studiues të sigurisë nëpërmjet një sistemi të avancuar të zbulimit të mësimit të makinerive – teknologji e fuqishme që shqyrton me kujdes përmbajtjen e ekzekutimeve të skripteve PowerShell, duke mundësuar identifikimin e këtij kërcënimi të pakapshëm. Sidoqoftë, pavarësisht këtij zbulimi, zinxhiri i saktë i infeksionit dhe kompromisi fillestar i PowerDrop mbeten të mbuluara me mister.
Analistët spekulojnë mbi metodat e mundshme të përdorura nga sulmuesit për të vendosur skriptin PowerDrop. Këto përfshijnë shfrytëzimin e dobësive, përdorimin e emaileve phishing për të synuar viktimat, apo edhe përdorimin e taktikave mashtruese të faqeve të shkarkimit të softuerit të falsifikuar. Rruga e saktë përmes së cilës PowerDrop infiltroi sistemet ende nuk është përcaktuar. Për të përmirësuar natyrën e tij të fshehtë, skripti është i koduar duke përdorur Base64, duke e lejuar atë të funksionojë si një "backdoor" ose "Trojan i qasjes në distancë" (RAT). Kjo teknikë e sofistikuar mundëson që PowerDrop të shmangë zbulimin dhe të ruajë qëndrueshmërinë brenda sistemeve të komprometuara.
Hulumtimi në regjistrat e sistemit zbulon njohuri thelbësore në modus operandi të PowerDrop. Analiza zbuloi se skripti me qëllim të keq përdori në mënyrë efektive filtrat e ngjarjeve WMI të regjistruara më parë dhe konsumatorët me emërtimin e veçantë 'SystemPowerManager'. Vetë malware-i krijoi këtë mekanizëm të kamufluar me zgjuarsi kur kompromentoi sistemin duke përdorur mjetin e linjës së komandës 'wmic.exe'.
Zbulimi i karakteristikave unike të PowerDrop hedh dritë mbi sofistikimin e kërcënimeve kibernetike moderne. Me aftësinë e tij për të shmangur zbulimin dhe për të vepruar në mënyrë të fshehtë brenda sistemeve të komprometuara, PowerDrop ilustron evolucionin e vazhdueshëm dhe zgjuarsinë e aktorëve keqdashës në peizazhin dixhital.
Industria e Hapësirës Ajrore të SHBA nën sulm: Prezantimi i malware i ri PowerDrop pamje nga ekrani
