ผู้ก่อภัยคุกคามทางไซเบอร์ที่ไม่ปรากฏชื่อก่อนหน้านี้มุ่งความสนใจไปที่อุตสาหกรรมการบินและอวกาศของสหรัฐฯ โดยใช้มัลแวร์ PowerShell ที่ค้นพบใหม่ซึ่งเรียกว่า PowerDrop มัลแวร์ขั้นสูงนี้ใช้กลยุทธ์หลอกลวง เทคนิคการเข้ารหัส และการเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ ชื่อ "PowerDrop" มาจากการพึ่งพาเครื่องมือ Windows PowerShell และสตริง "DROP" (DRP) ที่รวมอยู่ในรหัสสำหรับการเติม
PowerDrop เป็นเครื่องมือหลังการเอารัดเอาเปรียบที่ออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากเครือข่ายที่ถูกบุกรุกหลังจากได้รับการเข้าถึงโดยไม่ได้รับอนุญาตด้วยวิธีการอื่น เพื่อยุติการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) มัลแวร์จะใช้ Internet Control Message Protocol (ICMP) echo ข้อความร้องขอเป็นบีคอน จากนั้นเซิร์ฟเวอร์ C2 จะตอบสนองด้วยคำสั่งเข้ารหัสที่ถอดรหัสและดำเนินการบนโฮสต์ที่ถูกบุกรุก ในทำนองเดียวกัน ข้อความ ping ของ ICMP มีจุดประสงค์เพื่อกรองผลลัพธ์ของคำแนะนำเหล่านี้
โดยเฉพาะอย่างยิ่ง PowerDrop ใช้ประโยชน์จากบริการ Windows Management Instrumentation (WMI) เพื่อดำเนินการคำสั่ง PowerShell ซึ่งแสดงให้เห็นถึงการใช้เทคนิค แม้ว่าลักษณะหลักของมัลแวร์อาจไม่ซับซ้อนเป็นพิเศษ แต่ความสามารถในการทำให้กิจกรรมที่น่าสงสัยสับสนและหลบเลี่ยงการป้องกันปลายทางบ่งชี้ว่าผู้คุกคามขั้นสูงเข้ามาเกี่ยวข้อง
สารบัญ
เปิดเผยกลวิธีของการโจมตีด้วยมัลแวร์ลับๆ
มัลแวร์ที่เพิ่งค้นพบได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัยผ่านระบบตรวจจับแมชชีนเลิร์นนิงขั้นสูง ซึ่งเป็นเทคโนโลยีอันทรงพลังที่ตรวจสอบเนื้อหาของการดำเนินการสคริปต์ PowerShell ทำให้สามารถระบุภัยคุกคามที่เข้าใจยากนี้ได้ อย่างไรก็ตาม แม้จะมีความก้าวหน้านี้ ห่วงโซ่การติดเชื้อที่แน่นอนและการประนีประนอมครั้งแรกของ PowerDrop ยังคงปกคลุมไปด้วยความลึกลับ
นักวิเคราะห์คาดการณ์ถึงวิธีการที่เป็นไปได้ที่ผู้โจมตีใช้ในการปรับใช้สคริปต์ PowerDrop สิ่งเหล่านี้รวมถึงการใช้ประโยชน์จากช่องโหว่ การใช้อีเมลฟิชชิ่งเพื่อกำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อ หรือแม้กระทั่งการใช้ชั้นเชิงหลอกลวงของเว็บไซต์ดาวน์โหลดซอฟต์แวร์ปลอม ช่องทางที่แน่นอนที่ระบบแทรกซึมของ PowerDrop ยังไม่ได้รับการพิจารณา สคริปต์จะถูกเข้ารหัสโดยใช้ Base64 เพื่อให้สามารถทำหน้าที่เป็น ประตูหลัง หรือ โทรจันการเข้าถึงระยะไกล (RAT) เทคนิคที่ซับซ้อนนี้ช่วยให้ PowerDrop สามารถหลบเลี่ยงการตรวจจับและรักษาความต่อเนื่องภายในระบบที่ถูกบุกรุก
การเจาะลึกบันทึกของระบบจะเปิดเผยข้อมูลเชิงลึกที่สำคัญเกี่ยวกับวิธีดำเนินการของ PowerDrop การวิเคราะห์พบว่าสคริปต์ที่เป็นอันตรายใช้ตัวกรองเหตุการณ์ WMI ที่ลงทะเบียนไว้ก่อนหน้านี้อย่างมีประสิทธิภาพและผู้บริโภคที่มีชื่อเล่นว่า 'SystemPowerManager' ที่แตกต่างกัน ตัวมัลแวร์เองได้สร้างกลไกการอำพรางอย่างชาญฉลาดนี้เมื่อทำการประนีประนอมกับระบบโดยใช้เครื่องมือบรรทัดคำสั่ง 'wmic.exe'
การเปิดเผยคุณลักษณะเฉพาะของ PowerDrop แสดงให้เห็นถึงความซับซ้อนของภัยคุกคามทางไซเบอร์ในยุคปัจจุบัน ด้วยความสามารถในการหลบเลี่ยงการตรวจจับและดำเนินการอย่างลับๆ ภายในระบบที่ถูกบุกรุก PowerDrop เป็นตัวอย่างของการวิวัฒนาการอย่างต่อเนื่องและความเฉลียวฉลาดของผู้ประสงค์ร้ายในภูมิทัศน์ดิจิทัล
ผู้ก่อภัยคุกคามทางไซเบอร์ที่ไม่ปรากฏชื่อก่อนหน้านี้มุ่งความสนใจไปที่อุตสาหกรรมการบินและอวกาศของสหรัฐฯ โดยใช้มัลแวร์ PowerShell ที่ค้นพบใหม่ซึ่งเรียกว่า PowerDrop มัลแวร์ขั้นสูงนี้ใช้กลยุทธ์หลอกลวง เทคนิคการเข้ารหัส และการเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ ชื่อ "PowerDrop" มาจากการพึ่งพาเครื่องมือ Windows PowerShell และสตริง "DROP" (DRP) ที่รวมอยู่ในรหัสสำหรับการเติม
PowerDrop เป็นเครื่องมือหลังการเอารัดเอาเปรียบที่ออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากเครือข่ายที่ถูกบุกรุกหลังจากได้รับการเข้าถึงโดยไม่ได้รับอนุญาตด้วยวิธีการอื่น เพื่อยุติการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) มัลแวร์จะใช้ข้อความร้องขอ Internet Control Message Protocol (ICMP) เป็นสัญญาณ จากนั้นเซิร์ฟเวอร์ C2 จะตอบสนองด้วยคำสั่งเข้ารหัสที่ถอดรหัสและดำเนินการบนโฮสต์ที่ถูกบุกรุก ในทำนองเดียวกัน ข้อความ ping ของ ICMP มีจุดประสงค์เพื่อกรองผลลัพธ์ของคำแนะนำเหล่านี้
โดยเฉพาะอย่างยิ่ง PowerDrop ใช้ประโยชน์จากบริการ Windows Management Instrumentation (WMI) เพื่อดำเนินการคำสั่ง PowerShell ซึ่งแสดงให้เห็นถึงการใช้เทคนิค แม้ว่าลักษณะหลักของมัลแวร์อาจไม่ซับซ้อนเป็นพิเศษ แต่ความสามารถในการทำให้กิจกรรมที่น่าสงสัยสับสนและหลบเลี่ยงการป้องกันปลายทางบ่งชี้ว่าผู้คุกคามขั้นสูงเข้ามาเกี่ยวข้อง
เปิดเผยกลวิธีของการโจมตีด้วยมัลแวร์ลับๆ
มัลแวร์ที่เพิ่งค้นพบได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัยผ่านระบบตรวจจับแมชชีนเลิร์นนิงขั้นสูง ซึ่งเป็นเทคโนโลยีอันทรงพลังที่ตรวจสอบเนื้อหาของการดำเนินการสคริปต์ PowerShell ทำให้สามารถระบุภัยคุกคามที่เข้าใจยากนี้ได้ อย่างไรก็ตาม แม้จะมีความก้าวหน้านี้ ห่วงโซ่การติดเชื้อที่แน่นอนและการประนีประนอมครั้งแรกของ PowerDrop ยังคงปกคลุมไปด้วยความลึกลับ
นักวิเคราะห์คาดการณ์ถึงวิธีการที่เป็นไปได้ที่ผู้โจมตีใช้ในการปรับใช้สคริปต์ PowerDrop สิ่งเหล่านี้รวมถึงการใช้ประโยชน์จากช่องโหว่ ใช้อีเมลฟิชชิ่งเพื่อกำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อ หรือแม้กระทั่งการใช้ชั้นเชิงหลอกลวงของเว็บไซต์ดาวน์โหลดซอฟต์แวร์ปลอม ช่องทางที่แน่นอนที่ระบบแทรกซึมของ PowerDrop ยังไม่ได้รับการพิจารณา สคริปต์จะถูกเข้ารหัสโดยใช้ Base64 เพื่อให้สามารถทำหน้าที่เป็นประตูหลังหรือโทรจันการเข้าถึงระยะไกล (RAT) เทคนิคที่ซับซ้อนนี้ช่วยให้ PowerDrop สามารถหลบเลี่ยงการตรวจจับและรักษาความต่อเนื่องภายในระบบที่ถูกบุกรุก
การเจาะลึกบันทึกของระบบจะเปิดเผยข้อมูลเชิงลึกที่สำคัญเกี่ยวกับวิธีดำเนินการของ PowerDrop การวิเคราะห์พบว่าสคริปต์ที่เป็นอันตรายใช้ตัวกรองเหตุการณ์ WMI ที่ลงทะเบียนไว้ก่อนหน้านี้อย่างมีประสิทธิภาพและผู้บริโภคที่มีชื่อเล่นว่า 'SystemPowerManager' ที่แตกต่างกัน ตัวมัลแวร์เองได้สร้างกลไกการอำพรางอย่างชาญฉลาดนี้เมื่อทำการประนีประนอมกับระบบโดยใช้เครื่องมือบรรทัดคำสั่ง 'wmic.exe'
การเปิดเผยคุณลักษณะเฉพาะของ PowerDrop แสดงให้เห็นถึงความซับซ้อนของภัยคุกคามทางไซเบอร์ในยุคปัจจุบัน ด้วยความสามารถในการหลบเลี่ยงการตรวจจับและดำเนินการอย่างลับๆ ภายในระบบที่ถูกบุกรุก PowerDrop เป็นตัวอย่างของการวิวัฒนาการอย่างต่อเนื่องและความเฉลียวฉลาดของผู้ประสงค์ร้ายในภูมิทัศน์ดิจิทัล
อุตสาหกรรมการบินและอวกาศของสหรัฐฯ ถูกโจมตี: การเปิดตัวมัลแวร์ PowerDrop ใหม่ ภาพหน้าจอ
