Isang dating hindi kilalang cyber threat na aktor ang nagtutuon ng kanilang atensyon sa industriya ng aerospace ng US sa pamamagitan ng pag-deploy ng bagong natuklasang malware na nakabase sa PowerShell na tinatawag na PowerDrop . Gumagamit ang advanced na malware na ito ng iba't ibang mapanlinlang na taktika, diskarte sa pag-encode, at pag-encrypt upang maiwasan ang pagtuklas. Ang pangalang "PowerDrop" ay nagmula sa pag-asa nito sa Windows PowerShell tool at sa "DROP" (DRP) string na isinama sa code nito para sa padding.
Ang PowerDrop ay isang post-exploitation tool na idinisenyo upang mangalap ng sensitibong impormasyon mula sa mga nakompromisong network pagkatapos makakuha ng hindi awtorisadong pag-access sa pamamagitan ng mga alternatibong pamamaraan. Upang ayusin ang komunikasyon sa isang Command-and-Control (C2) server, ginagamit ng malware ang Internet Control Message Protocol (ICMP) echo request na mga mensahe bilang mga beacon. Ang C2 server pagkatapos ay tumugon sa mga naka-encrypt na command na na-decode at naisakatuparan sa nakompromisong host. Katulad nito, ang isang ICMP ping message ay naglalayong i-exfiltrate ang mga resulta ng mga tagubiling ito.
Kapansin-pansin, ginagamit ng PowerDrop ang serbisyo ng Windows Management Instrumentation (WMI) upang isagawa ang mga utos ng PowerShell, na nagpapakita ng paggamit ng banta ng aktor ng mga diskarteng "living-off-the-land" upang maiwasan ang pagtuklas. Bagama't ang pangunahing katangian ng malware ay maaaring hindi masyadong sopistikado, ang kakayahan nitong i-obfuscate ang mga kahina-hinalang aktibidad at iwasan ang mga endpoint defense ay nagpapahiwatig ng paglahok ng mas advanced na mga aktor ng pagbabanta.
Talaan ng mga Nilalaman
Paglalahad ng Mga Taktika ng Palihim na Malware Attack
Ang kamakailang natuklasang malware ay inihayag ng mga mananaliksik sa seguridad sa pamamagitan ng isang advanced na machine learning detection system – mahusay na teknolohiya na nagsusuri sa nilalaman ng PowerShell script executions, na nagbibigay-daan sa pagkakakilanlan ng mailap na banta na ito. Gayunpaman, sa kabila ng tagumpay na ito, ang eksaktong kadena ng impeksyon at paunang kompromiso ng PowerDrop ay nananatiling nababalot ng misteryo.
Ang mga analyst ay nag-isip sa mga potensyal na pamamaraan na ginagamit ng mga umaatake upang i-deploy ang PowerDrop script. Kabilang dito ang pagsasamantala sa mga kahinaan, paggamit ng mga email sa phishing upang i-target ang mga biktima, o kahit na paggamit sa mapanlinlang na taktika ng mga spoofed na site ng pag-download ng software. Ang eksaktong paraan kung saan ang PowerDrop infiltrated system ay hindi pa matukoy. Upang mapahusay ang lihim na kalikasan nito, ang script ay naka-encode gamit ang Base64, na nagbibigay-daan dito na gumana bilang isang backdoor o Remote Access Trojan (RAT) . Ang sopistikadong pamamaraan na ito ay nagbibigay-daan sa PowerDrop na makaiwas sa pagtuklas at mapanatili ang pagtitiyaga sa loob ng mga nakompromisong system.
Ang pagsisiyasat sa mga log ng system ay naglalahad ng mahahalagang insight sa modus operandi ng PowerDrop. Ang pagsusuri ay nagsiwalat na ang nakakahamak na script ay epektibong gumamit ng dati nang nakarehistrong mga filter ng kaganapan sa WMI at mga mamimili na may natatanging moniker na 'SystemPowerManager.' Ang malware mismo ang lumikha nitong matalinong naka-camouflaged na mekanismo nang ikompromiso ang system gamit ang command-line tool na 'wmic.exe'.
Ang paghahayag ng mga natatanging katangian ng PowerDrop ay nagbibigay liwanag sa pagiging sopistikado ng mga modernong banta sa cyber. Sa kakayahan nitong iwasan ang pag-detect at palihim na gumana sa loob ng mga nakompromisong system, ang PowerDrop ay nagpapakita ng patuloy na ebolusyon at katalinuhan ng mga nakakahamak na aktor sa digital landscape.
Isang dating hindi kilalang cyber threat na aktor ang nagtutuon ng kanilang pansin sa industriya ng aerospace ng US sa pamamagitan ng pag-deploy ng bagong natuklasang malware na nakabase sa PowerShell na tinatawag na PowerDrop. Gumagamit ang advanced na malware na ito ng iba't ibang mapanlinlang na taktika, diskarte sa pag-encode, at pag-encrypt upang maiwasan ang pagtuklas. Ang pangalang "PowerDrop" ay nagmula sa pag-asa nito sa Windows PowerShell tool at ang "DROP" (DRP) string na isinama sa code nito para sa padding.
Ang PowerDrop ay isang post-exploitation tool na idinisenyo upang mangalap ng sensitibong impormasyon mula sa mga nakompromisong network pagkatapos makakuha ng hindi awtorisadong pag-access sa pamamagitan ng mga alternatibong pamamaraan. Upang ayusin ang komunikasyon sa isang Command-and-Control (C2) server, ginagamit ng malware ang Internet Control Message Protocol (ICMP) echo request na mga mensahe bilang mga beacon. Ang C2 server pagkatapos ay tumugon sa mga naka-encrypt na command na na-decode at naisakatuparan sa nakompromisong host. Katulad nito, ang isang ICMP ping message ay naglalayong i-exfiltrate ang mga resulta ng mga tagubiling ito.
Kapansin-pansin, ginagamit ng PowerDrop ang serbisyo ng Windows Management Instrumentation (WMI) upang isagawa ang mga utos ng PowerShell, na nagpapakita ng paggamit ng banta ng aktor ng mga diskarteng "living-off-the-land" upang maiwasan ang pagtuklas. Bagama't ang pangunahing katangian ng malware ay maaaring hindi masyadong sopistikado, ang kakayahan nitong i-obfuscate ang mga kahina-hinalang aktibidad at iwasan ang mga endpoint defense ay nagpapahiwatig ng paglahok ng mas advanced na mga aktor ng pagbabanta.
Paglalahad ng Mga Taktika ng Palihim na Pag-atake ng Malware
Ang kamakailang natuklasang malware ay inihayag ng mga mananaliksik sa seguridad sa pamamagitan ng isang advanced na machine learning detection system – mahusay na teknolohiya na nagsusuri sa nilalaman ng PowerShell script executions, na nagbibigay-daan sa pagkakakilanlan ng mailap na banta na ito. Gayunpaman, sa kabila ng tagumpay na ito, ang eksaktong kadena ng impeksyon at paunang kompromiso ng PowerDrop ay nananatiling nababalot ng misteryo.
Ang mga analyst ay nag-isip sa mga potensyal na pamamaraan na ginagamit ng mga umaatake upang i-deploy ang PowerDrop script. Kabilang dito ang pagsasamantala sa mga kahinaan, paggamit ng mga email sa phishing upang i-target ang mga biktima, o kahit na paggamit sa mapanlinlang na taktika ng mga spoofed na site ng pag-download ng software. Ang eksaktong paraan kung saan ang PowerDrop infiltrated system ay hindi pa matukoy. Upang mapahusay ang lihim na kalikasan nito, ang script ay naka-encode gamit ang Base64, na nagpapahintulot na gumana ito bilang isang backdoor o Remote Access Trojan (RAT). Ang sopistikadong pamamaraan na ito ay nagbibigay-daan sa PowerDrop na makaiwas sa pagtuklas at mapanatili ang pagtitiyaga sa loob ng mga nakompromisong system.
Ang pagsisiyasat sa mga log ng system ay naglalahad ng mahahalagang insight sa modus operandi ng PowerDrop. Ang pagsusuri ay nagsiwalat na ang nakakahamak na script ay epektibong gumamit ng dati nang nakarehistrong mga filter ng kaganapan sa WMI at mga mamimili na may natatanging moniker na 'SystemPowerManager.' Ang malware mismo ang lumikha nitong matalinong naka-camouflaged na mekanismo nang ikompromiso ang system gamit ang command-line tool na 'wmic.exe'.
Ang paghahayag ng mga natatanging katangian ng PowerDrop ay nagbibigay liwanag sa pagiging sopistikado ng mga modernong banta sa cyber. Sa kakayahan nitong iwasan ang pag-detect at palihim na gumana sa loob ng mga nakompromisong system, ipinapakita ng PowerDrop ang patuloy na ebolusyon at katalinuhan ng mga nakakahamak na aktor sa digital landscape.
US Aerospace Industry Under Attack: Ang Panimula ng Bagong PowerDrop Malware Mga screenshot
