En tidigare oidentifierad aktör för cyberhot riktar sin uppmärksamhet mot den amerikanska flygindustrin genom att distribuera en nyupptäckt PowerShell-baserad skadlig programvara som heter PowerDrop . Denna avancerade skadliga programvara använder olika vilseledande taktiker, kodningstekniker och kryptering för att undvika upptäckt. Namnet "PowerDrop" kommer från dess beroende av Windows PowerShell-verktyget och "DROP"-strängen (DRP) som är inbyggd i dess kod för utfyllnad.
PowerDrop är ett efterexploateringsverktyg utformat för att samla in känslig information från komprometterade nätverk efter att ha fått obehörig åtkomst genom alternativa metoder. För att lösa kommunikationen med en Command-and-Control-server (C2) använder den skadliga programvaran Internet Control Message Protocol (ICMP) ekobegäranmeddelanden som signaler. C2-servern svarar sedan med krypterade kommandon som avkodas och exekveras på den komprometterade värden. På samma sätt syftar ett ICMP-pingmeddelande till att exfiltrera resultaten av dessa instruktioner.
Noterbart är att PowerDrop utnyttjar tjänsten Windows Management Instrumentation (WMI) för att utföra PowerShell-kommandon, som visar upp hotaktörens användning av "living-off-the-land"-tekniker för att undvika upptäckt. Även om kärnan i skadlig programvara kanske inte är exceptionellt sofistikerad, indikerar dess förmåga att fördunkla misstänkta aktiviteter och undvika slutpunktsförsvar att mer avancerade hotaktörer är involverade.
Innehållsförteckning
Avslöjar taktiken för den smygande skadliga attacken
Den nyligen upptäckta skadliga programvaran har lyfts fram av säkerhetsforskare via ett avancerat maskininlärningssystem – kraftfull teknik som granskar innehållet i PowerShell-skriptkörningar, vilket möjliggör identifiering av detta svårfångade hot. Men trots detta genombrott förblir den exakta infektionskedjan och den första kompromissen med PowerDrop höljd i mystik.
Analytiker spekulerar i de potentiella metoder som angriparna använder för att distribuera PowerDrop-skriptet. Dessa inkluderar att utnyttja sårbarheter, använda nätfiske-e-postmeddelanden för att rikta in sig på offer, eller till och med tillgripa den vilseledande taktiken med webbplatser för nedladdning av falska program. Den exakta vägen genom vilken PowerDrop infiltrerade system är ännu inte fastställd. För att förbättra dess hemliga natur kodas skriptet med Base64, vilket gör att det kan fungera som en bakdörr eller en fjärråtkomsttrojan (RAT) . Denna sofistikerade teknik gör det möjligt för PowerDrop att undvika upptäckt och upprätthålla uthållighet inom komprometterade system.
Att fördjupa sig i systemloggarna avslöjar avgörande insikter om PowerDrops arbetssätt. Analysen avslöjade att det skadliga skriptet effektivt använde tidigare registrerade WMI-händelsefilter och konsumenter med den distinkta monikern 'SystemPowerManager'. Skadlig programvara skapade själv denna smart kamouflerade mekanism efter att ha kompromissat med systemet med hjälp av kommandoradsverktyget 'wmic.exe'.
Avslöjandet av PowerDrops unika egenskaper kastar ljus över det sofistikerade i dagens cyberhot. Med sin förmåga att undvika upptäckt och agera i hemlighet inom komprometterade system, exemplifierar PowerDrop illvilliga aktörers ständiga utveckling och uppfinningsrikedom i det digitala landskapet.
En tidigare oidentifierad aktör för cyberhot riktar sin uppmärksamhet mot den amerikanska flygindustrin genom att distribuera en nyupptäckt PowerShell-baserad skadlig programvara som heter PowerDrop. Denna avancerade skadliga programvara använder olika vilseledande taktiker, kodningstekniker och kryptering för att undvika upptäckt. Namnet "PowerDrop" kommer från dess beroende av Windows PowerShell-verktyget och "DROP"-strängen (DRP) som är inbyggd i dess kod för utfyllnad.
PowerDrop är ett efterexploateringsverktyg utformat för att samla in känslig information från komprometterade nätverk efter att ha fått obehörig åtkomst genom alternativa metoder. För att lösa kommunikationen med en Command-and-Control-server (C2) använder den skadliga programvaran Internet Control Message Protocol (ICMP) ekobegäranmeddelanden som signaler. C2-servern svarar sedan med krypterade kommandon som avkodas och exekveras på den komprometterade värden. På samma sätt syftar ett ICMP-pingmeddelande till att exfiltrera resultaten av dessa instruktioner.
Noterbart är att PowerDrop utnyttjar tjänsten Windows Management Instrumentation (WMI) för att utföra PowerShell-kommandon, som visar upp hotaktörens användning av "living-off-the-land"-tekniker för att undvika upptäckt. Även om kärnan i skadlig programvara kanske inte är exceptionellt sofistikerad, indikerar dess förmåga att fördunkla misstänkta aktiviteter och undvika slutpunktsförsvar att mer avancerade hotaktörer är involverade.
Avslöjar taktiken för den smygande skadliga attacken
Den nyligen upptäckta skadliga programvaran har lyfts fram av säkerhetsforskare via ett avancerat maskininlärningssystem – kraftfull teknik som granskar innehållet i PowerShell-skriptkörningar, vilket möjliggör identifiering av detta svårfångade hot. Men trots detta genombrott förblir den exakta infektionskedjan och den första kompromissen med PowerDrop höljd i mystik.
Analytiker spekulerar i de potentiella metoder som angriparna använder för att distribuera PowerDrop-skriptet. Dessa inkluderar att utnyttja sårbarheter, använda nätfiske-e-postmeddelanden för att rikta in sig på offer, eller till och med tillgripa den vilseledande taktiken med webbplatser för nedladdning av falska program. Den exakta vägen genom vilken PowerDrop infiltrerade system är ännu inte fastställd. För att förbättra dess hemliga natur kodas skriptet med Base64, vilket gör att det kan fungera som en bakdörr eller en fjärråtkomsttrojan (RAT). Denna sofistikerade teknik gör det möjligt för PowerDrop att undvika upptäckt och upprätthålla uthållighet inom komprometterade system.
Att fördjupa sig i systemloggarna avslöjar avgörande insikter om PowerDrops arbetssätt. Analysen avslöjade att det skadliga skriptet effektivt använde tidigare registrerade WMI-händelsefilter och konsumenter med den distinkta monikern 'SystemPowerManager'. Skadlig programvara skapade själv denna smart kamouflerade mekanism efter att ha kompromissat med systemet med hjälp av kommandoradsverktyget 'wmic.exe'.
Avslöjandet av PowerDrops unika egenskaper kastar ljus över det sofistikerade i dagens cyberhot. Med sin förmåga att undvika upptäckt och agera i hemlighet inom komprometterade system, exemplifierar PowerDrop illvilliga aktörers ständiga utveckling och uppfinningsrikedom i det digitala landskapet.
US Aerospace Industry under attack: Introduktionen av ny PowerDrop Malware skärmdumpar
