Daha önce kimliği belirlenemeyen bir siber tehdit aktörü, PowerDrop adlı yeni keşfedilen PowerShell tabanlı bir kötü amaçlı yazılımı dağıtarak dikkatlerini ABD havacılık endüstrisine yöneltiyor. Bu gelişmiş kötü amaçlı yazılım, tespit edilmekten kaçınmak için çeşitli aldatıcı taktikler, kodlama teknikleri ve şifreleme kullanır. "PowerDrop" adı, Windows PowerShell aracına ve doldurma koduna dahil edilen "DROP" (DRP) dizesine olan güveninden türemiştir.
PowerDrop, alternatif yöntemlerle yetkisiz erişim sağladıktan sonra güvenliği ihlal edilmiş ağlardan hassas bilgileri toplamak için tasarlanmış bir kullanım sonrası aracıdır. Kötü amaçlı yazılım, Komuta ve Kontrol (C2) sunucusuyla iletişimi kurmak için işaretçi olarak İnternet Kontrol İletisi Protokolü (ICMP) yankı isteği mesajlarını kullanır. C2 sunucusu daha sonra güvenliği ihlal edilmiş ana bilgisayarda kodu çözülmüş ve yürütülen şifreli komutlarla yanıt verir. Benzer şekilde, bir ICMP ping mesajı, bu talimatların sonuçlarını dışarı sızdırmayı amaçlar.
Özellikle, PowerDrop, PowerShell komutlarını yürütmek için Windows Yönetim Araçları (WMI) hizmetini kullanır ve tehdit aktörünün tespitten kaçmak için "arazi dışında yaşama" tekniklerini kullandığını gösterir. Kötü amaçlı yazılımın temel doğası son derece karmaşık olmasa da, şüpheli etkinlikleri gizleme ve uç nokta savunmalarından kaçma yeteneği, daha gelişmiş tehdit aktörlerinin işin içinde olduğunu gösterir.
İçindekiler
Gizli Kötü Amaçlı Yazılım Saldırısının Taktiklerini Ortaya Çıkarma
Yakın zamanda keşfedilen kötü amaçlı yazılım, güvenlik araştırmacıları tarafından, PowerShell betik yürütmelerinin içeriğini inceleyerek bu yakalanması zor tehdidin tanımlanmasını sağlayan güçlü bir teknoloji olan gelişmiş bir makine öğrenimi algılama sistemi aracılığıyla gün ışığına çıkarıldı. Bununla birlikte, bu buluşa rağmen, PowerDrop'un tam bulaşma zinciri ve ilk uzlaşması gizemini koruyor.
Analistler, saldırganların PowerDrop komut dosyasını dağıtmak için kullandıkları potansiyel yöntemler hakkında spekülasyon yapıyor. Bunlara güvenlik açıklarından yararlanma, kurbanları hedeflemek için kimlik avı e-postaları kullanma ve hatta sahte yazılım indirme sitelerinin aldatıcı taktiğine başvurma dahildir. PowerDrop'un sistemlere sızdığı kesin yol henüz belirlenmedi. Gizli doğasını geliştirmek için betik, Base64 kullanılarak kodlanır ve bu da onun bir arka kapı veya Uzaktan Erişim Truva Atı (RAT) olarak işlev görmesine olanak tanır. Bu gelişmiş teknik, PowerDrop'un güvenliği ihlal edilmiş sistemlerde algılamadan kaçınmasını ve kalıcılığı sürdürmesini sağlar.
Sistem günlüklerini araştırmak, PowerDrop'un işleyiş biçimine ilişkin önemli içgörüleri ortaya çıkarır. Analiz, kötü amaçlı komut dosyasının önceden kaydedilmiş WMI olay filtrelerini ve farklı bir takma ad olan 'SystemPowerManager' ile tüketicileri etkili bir şekilde kullandığını ortaya çıkardı. Kötü amaçlı yazılımın kendisi, 'wmic.exe' komut satırı aracını kullanarak sistemi tehlikeye atarak bu akıllıca kamufle edilmiş mekanizmayı oluşturdu.
PowerDrop'un benzersiz özelliklerinin açığa çıkması, günümüz siber tehditlerinin karmaşıklığına ışık tutuyor. Tespitten kaçma ve güvenliği ihlal edilmiş sistemlerde gizlice çalışma becerisiyle PowerDrop, kötü niyetli aktörlerin dijital ortamda sürekli gelişiminin ve yaratıcılığının bir örneğidir.
Daha önce kimliği belirlenemeyen bir siber tehdit aktörü, PowerDrop adlı yeni keşfedilen PowerShell tabanlı bir kötü amaçlı yazılımı dağıtarak dikkatlerini ABD havacılık ve uzay endüstrisine yöneltiyor. Bu gelişmiş kötü amaçlı yazılım, tespit edilmekten kaçınmak için çeşitli aldatıcı taktikler, kodlama teknikleri ve şifreleme kullanır. "PowerDrop" adı, Windows PowerShell aracına ve doldurma koduna dahil edilen "DROP" (DRP) dizesine olan güveninden türemiştir.
PowerDrop, alternatif yöntemlerle yetkisiz erişim sağladıktan sonra güvenliği ihlal edilmiş ağlardan hassas bilgileri toplamak için tasarlanmış bir istismar sonrası aracıdır. Kötü amaçlı yazılım, Komuta ve Kontrol (C2) sunucusuyla iletişimi kurmak için işaretçi olarak İnternet Kontrol İletisi Protokolü (ICMP) yankı isteği mesajlarını kullanır. C2 sunucusu daha sonra güvenliği ihlal edilmiş ana bilgisayarda kodu çözülmüş ve yürütülen şifreli komutlarla yanıt verir. Benzer şekilde, bir ICMP ping mesajı, bu talimatların sonuçlarını dışarı sızdırmayı amaçlar.
Özellikle, PowerDrop, PowerShell komutlarını yürütmek için Windows Yönetim Araçları (WMI) hizmetini kullanır ve tehdit aktörünün tespitten kaçmak için "kara dışında yaşama" tekniklerini kullandığını gösterir. Kötü amaçlı yazılımın temel doğası son derece karmaşık olmasa da, şüpheli etkinlikleri gizleme ve uç nokta savunmalarından kaçma yeteneği, daha gelişmiş tehdit aktörlerinin işin içinde olduğunu gösterir.
Gizli Kötü Amaçlı Yazılım Saldırısının Taktiklerini Ortaya Çıkarma
Yakın zamanda keşfedilen kötü amaçlı yazılım, güvenlik araştırmacıları tarafından, PowerShell betik yürütmelerinin içeriğini inceleyerek bu yakalanması zor tehdidin tanımlanmasını sağlayan güçlü bir teknoloji olan gelişmiş bir makine öğrenimi algılama sistemi aracılığıyla gün ışığına çıkarıldı. Bununla birlikte, bu buluşa rağmen, PowerDrop'un tam bulaşma zinciri ve ilk uzlaşması gizemini koruyor.
Analistler, saldırganların PowerDrop komut dosyasını dağıtmak için kullandıkları potansiyel yöntemler hakkında spekülasyon yapıyor. Bunlara güvenlik açıklarından yararlanma, kurbanları hedeflemek için kimlik avı e-postaları kullanma ve hatta sahte yazılım indirme sitelerinin aldatıcı taktiğine başvurma dahildir. PowerDrop'un sistemlere sızdığı kesin yol henüz belirlenmedi. Gizli doğasını geliştirmek için betik, Base64 kullanılarak kodlanır ve bu da onun bir arka kapı veya Uzaktan Erişim Truva Atı (RAT) işlevi görmesine olanak tanır. Bu gelişmiş teknik, PowerDrop'un güvenliği ihlal edilmiş sistemlerde algılamadan kaçınmasını ve kalıcılığı sürdürmesini sağlar.
Sistem günlüklerini araştırmak, PowerDrop'un işleyiş biçimine ilişkin önemli içgörüleri ortaya çıkarır. Analiz, kötü amaçlı komut dosyasının önceden kaydedilmiş WMI olay filtrelerini ve farklı 'SystemPowerManager' takma adıyla tüketicileri etkili bir şekilde kullandığını ortaya çıkardı. Kötü amaçlı yazılımın kendisi, 'wmic.exe' komut satırı aracını kullanarak sistemi tehlikeye atarak bu akıllıca kamufle edilmiş mekanizmayı oluşturdu.
PowerDrop'un benzersiz özelliklerinin açığa çıkması, günümüz siber tehditlerinin karmaşıklığına ışık tutuyor. Tespitten kaçma ve güvenliği ihlal edilmiş sistemlerde gizlice çalışma becerisiyle PowerDrop, kötü niyetli aktörlerin dijital ortamda sürekli gelişiminin ve yaratıcılığının bir örneğidir.
ABD Havacılık ve Uzay Endüstrisi Saldırı Altında: Yeni PowerDrop Kötü Amaçlı Yazılımının Tanıtımı Ekran Görüntüsü
