Раніше неідентифікований суб’єкт кіберзагрози привертає їхню увагу до аерокосмічної промисловості США, розгортаючи нещодавно виявлену шкідливу програму PowerDrop на основі PowerShell. Ця передова шкідлива програма використовує різні тактики омани, методи кодування та шифрування, щоб уникнути виявлення. Назва «PowerDrop» походить від його використання інструменту Windows PowerShell і рядка «DROP» (DRP), включеного в його код для заповнення.
PowerDrop — це інструмент після експлуатації, призначений для збору конфіденційної інформації з скомпрометованих мереж після отримання несанкціонованого доступу альтернативними методами. Щоб налагодити зв’язок із сервером командування та керування (C2), зловмисне програмне забезпечення використовує повідомлення ехо-запиту протоколу контрольних повідомлень Інтернету (ICMP) як маяки. Потім сервер C2 відповідає зашифрованими командами, які розшифровуються та виконуються на скомпрометованому хості. Подібним чином повідомлення ping ICMP має на меті отримати результати цих інструкцій.
Примітно, що PowerDrop використовує службу Windows Management Instrumentation (WMI) для виконання команд PowerShell, демонструючи використання зловмисником методів «життя поза межами землі», щоб уникнути виявлення. Хоча основна природа зловмисного програмного забезпечення може бути не надто складною, його здатність маскувати підозрілі дії та уникати захисту кінцевої точки вказує на участь більш просунутих суб’єктів загрози.
Зміст
Розкриття тактики прихованої атаки зловмисного програмного забезпечення
Нещодавно виявлене зловмисне програмне забезпечення було виявлено дослідниками безпеки за допомогою вдосконаленої системи виявлення машинного навчання – потужної технології, яка ретельно перевіряє вміст виконання сценаріїв PowerShell, дозволяючи ідентифікувати цю невловиму загрозу. Однак, незважаючи на цей прорив, точний ланцюг зараження та початковий компрометація PowerDrop залишаються оповитими таємницею.
Аналітики припускають потенційні методи, використані зловмисниками для розгортання сценарію PowerDrop. Сюди входить використання вразливостей, використання фішингових електронних листів для націлювання на жертв або навіть вдавання до оманливої тактики сайтів для завантаження підробленого програмного забезпечення. Точний шлях, яким PowerDrop проникає в системи, ще не визначено. Щоб посилити його прихований характер, сценарій закодовано за допомогою Base64, що дозволяє йому функціонувати як бекдор або троян віддаленого доступу (RAT) . Ця складна техніка дозволяє PowerDrop уникати виявлення та підтримувати постійність у скомпрометованих системах.
Заглиблення в системні журнали відкриває ключову інформацію про принципи роботи PowerDrop. Аналіз виявив, що зловмисний сценарій ефективно використовував раніше зареєстровані фільтри подій WMI та споживачів із чітким іменем «SystemPowerManager». Саме зловмисне програмне забезпечення створило цей майстерно закамуфльований механізм після зламу системи за допомогою інструмента командного рядка «wmic.exe».
Розкриття унікальних характеристик PowerDrop проливає світло на складність сучасних кіберзагроз. Завдяки своїй здатності уникати виявлення та таємно працювати в скомпрометованих системах PowerDrop є прикладом постійної еволюції та винахідливості зловмисників у цифровому середовищі.
Раніше неідентифікований суб’єкт кіберзагрози спрямовує їхню увагу на аерокосмічну промисловість США, розгортаючи нещодавно виявлену шкідливу програму PowerDrop на основі PowerShell. Ця передова шкідлива програма використовує різні тактики омани, методи кодування та шифрування, щоб уникнути виявлення. Назва «PowerDrop» походить від його використання інструменту Windows PowerShell і рядка «DROP» (DRP), включеного в його код для заповнення.
PowerDrop — це інструмент після експлуатації, призначений для збору конфіденційної інформації з скомпрометованих мереж після отримання несанкціонованого доступу альтернативними методами. Щоб налагодити зв’язок із сервером командування та керування (C2), зловмисне програмне забезпечення використовує повідомлення ехо-запиту протоколу контрольних повідомлень Інтернету (ICMP) як маяки. Потім сервер C2 відповідає зашифрованими командами, які розшифровуються та виконуються на скомпрометованому хості. Подібним чином повідомлення ping ICMP має на меті отримати результати цих інструкцій.
Примітно, що PowerDrop використовує службу Windows Management Instrumentation (WMI) для виконання команд PowerShell, демонструючи використання зловмисником методів «життя поза межами землі», щоб уникнути виявлення. Хоча основна природа зловмисного програмного забезпечення може бути не надто складною, його здатність маскувати підозрілі дії та уникати захисту кінцевої точки вказує на участь більш просунутих суб’єктів загрози.
Розкриття тактики прихованої атаки зловмисного програмного забезпечення
Нещодавно виявлене зловмисне програмне забезпечення було виявлено дослідниками безпеки за допомогою вдосконаленої системи виявлення машинного навчання – потужної технології, яка ретельно перевіряє вміст виконання сценаріїв PowerShell, дозволяючи ідентифікувати цю невловиму загрозу. Однак, незважаючи на цей прорив, точний ланцюг зараження та початковий компрометація PowerDrop залишаються оповитими таємницею.
Аналітики припускають потенційні методи, використані зловмисниками для розгортання сценарію PowerDrop. Сюди входить використання вразливостей, використання фішингових електронних листів для націлювання на жертв або навіть вдавання до оманливої тактики сайтів для завантаження підробленого програмного забезпечення. Точний шлях, яким PowerDrop проникає в системи, ще не визначено. Щоб посилити його прихований характер, сценарій закодовано за допомогою Base64, що дозволяє йому функціонувати як бекдор або троян віддаленого доступу (RAT). Ця складна техніка дозволяє PowerDrop уникати виявлення та підтримувати постійність у скомпрометованих системах.
Заглиблення в системні журнали відкриває ключову інформацію про принципи роботи PowerDrop. Аналіз виявив, що зловмисний сценарій ефективно використовував раніше зареєстровані фільтри подій WMI та споживачів із чітким іменем «SystemPowerManager». Саме зловмисне програмне забезпечення створило цей майстерно закамуфльований механізм після зламу системи за допомогою інструмента командного рядка «wmic.exe».
Розкриття унікальних характеристик PowerDrop проливає світло на складність сучасних кіберзагроз. Завдяки своїй здатності уникати виявлення та таємно працювати в зламаних системах, PowerDrop є прикладом постійної еволюції та винахідливості зловмисників у цифровому середовищі.
Аерокосмічна промисловість США під ударом: представлення нової шкідливої програми PowerDrop скріншотів
