Một tác nhân đe dọa mạng chưa được xác định trước đây hướng sự chú ý của họ tới ngành hàng không vũ trụ Hoa Kỳ bằng cách triển khai phần mềm độc hại dựa trên PowerShell mới được phát hiện có tên là PowerDrop . Phần mềm độc hại nâng cao này sử dụng nhiều chiến thuật lừa đảo, kỹ thuật mã hóa và mã hóa khác nhau để tránh bị phát hiện. Tên "PowerDrop" bắt nguồn từ sự phụ thuộc của nó vào công cụ Windows PowerShell và chuỗi "DROP" (DRP) được tích hợp vào mã của nó để đệm.
PowerDrop là một công cụ hậu khai thác được thiết kế để thu thập thông tin nhạy cảm từ các mạng bị xâm nhập sau khi có được quyền truy cập trái phép thông qua các phương pháp thay thế. Để giải quyết giao tiếp với máy chủ Command-and-Control (C2), phần mềm độc hại sử dụng các thông báo yêu cầu tiếng vang của Giao thức thông báo điều khiển Internet (ICMP) dưới dạng báo hiệu. Sau đó, máy chủ C2 sẽ phản hồi bằng các lệnh mã hóa được giải mã và thực thi trên máy chủ bị xâm nhập. Tương tự, một thông báo ping ICMP nhằm mục đích lọc kết quả của các hướng dẫn này.
Đáng chú ý, PowerDrop tận dụng dịch vụ Công cụ quản lý Windows (WMI) để thực thi các lệnh PowerShell, cho thấy tác nhân đe dọa sử dụng các kỹ thuật "sống xa xứ" để tránh bị phát hiện. Mặc dù bản chất cốt lõi của phần mềm độc hại có thể không đặc biệt tinh vi, nhưng khả năng che giấu các hoạt động đáng ngờ và trốn tránh hệ thống phòng thủ điểm cuối của phần mềm này cho thấy có sự tham gia của các tác nhân đe dọa cấp cao hơn.
Mục lục
Hé lộ các chiến thuật của cuộc tấn công phần mềm độc hại lén lút
Phần mềm độc hại được phát hiện gần đây đã được các nhà nghiên cứu bảo mật đưa ra ánh sáng thông qua hệ thống phát hiện máy học tiên tiến – công nghệ mạnh mẽ xem xét kỹ lưỡng nội dung thực thi tập lệnh PowerShell, cho phép xác định mối đe dọa khó nắm bắt này. Tuy nhiên, bất chấp bước đột phá này, chuỗi lây nhiễm chính xác và sự xâm nhập ban đầu của PowerDrop vẫn còn là một bí ẩn.
Các nhà phân tích suy đoán về các phương pháp tiềm năng mà những kẻ tấn công sử dụng để triển khai tập lệnh PowerDrop. Chúng bao gồm khai thác lỗ hổng, sử dụng email lừa đảo để nhắm mục tiêu nạn nhân hoặc thậm chí sử dụng chiến thuật lừa đảo của các trang web tải xuống phần mềm giả mạo. Con đường chính xác mà qua đó các hệ thống PowerDrop xâm nhập vẫn chưa được xác định. Để tăng cường bản chất bí mật của nó, tập lệnh được mã hóa bằng Base64, cho phép nó hoạt động như một cửa hậu hoặc Trojan truy cập từ xa (RAT) . Kỹ thuật tinh vi này cho phép PowerDrop tránh bị phát hiện và duy trì sự bền bỉ trong các hệ thống bị xâm nhập.
Đi sâu vào nhật ký hệ thống sẽ làm sáng tỏ những hiểu biết quan trọng về phương thức hoạt động của PowerDrop. Phân tích cho thấy tập lệnh độc hại đã sử dụng hiệu quả các bộ lọc sự kiện WMI đã đăng ký trước đó và người tiêu dùng với biệt danh riêng biệt 'SystemPowerManager'. Bản thân phần mềm độc hại đã tạo ra cơ chế ngụy trang khéo léo này khi xâm phạm hệ thống bằng công cụ dòng lệnh 'wmic.exe'.
Tiết lộ về các đặc điểm độc đáo của PowerDrop làm sáng tỏ sự tinh vi của các mối đe dọa mạng hiện đại. Với khả năng tránh bị phát hiện và hoạt động bí mật trong các hệ thống bị xâm nhập, PowerDrop minh họa cho sự phát triển không ngừng và sự khéo léo của các tác nhân độc hại trong bối cảnh kỹ thuật số.
Một tác nhân đe dọa mạng chưa được xác định trước đây hướng sự chú ý của họ tới ngành hàng không vũ trụ của Hoa Kỳ bằng cách triển khai một phần mềm độc hại dựa trên PowerShell mới được phát hiện có tên là PowerDrop. Phần mềm độc hại nâng cao này sử dụng nhiều chiến thuật lừa đảo, kỹ thuật mã hóa và mã hóa khác nhau để tránh bị phát hiện. Tên "PowerDrop" bắt nguồn từ sự phụ thuộc của nó vào công cụ Windows PowerShell và chuỗi "DROP" (DRP) được tích hợp vào mã của nó để đệm.
PowerDrop là một công cụ hậu khai thác được thiết kế để thu thập thông tin nhạy cảm từ các mạng bị xâm nhập sau khi có được quyền truy cập trái phép thông qua các phương pháp thay thế. Để giải quyết giao tiếp với máy chủ Command-and-Control (C2), phần mềm độc hại sử dụng các thông báo yêu cầu tiếng vang của Giao thức thông báo điều khiển Internet (ICMP) dưới dạng báo hiệu. Sau đó, máy chủ C2 sẽ phản hồi bằng các lệnh mã hóa được giải mã và thực thi trên máy chủ bị xâm nhập. Tương tự, một thông báo ping ICMP nhằm mục đích lọc kết quả của các hướng dẫn này.
Đáng chú ý, PowerDrop tận dụng dịch vụ Công cụ quản lý Windows (WMI) để thực thi các lệnh PowerShell, cho thấy tác nhân đe dọa sử dụng các kỹ thuật "sống xa xứ" để tránh bị phát hiện. Mặc dù bản chất cốt lõi của phần mềm độc hại có thể không đặc biệt tinh vi, nhưng khả năng che giấu các hoạt động đáng ngờ và trốn tránh hệ thống phòng thủ điểm cuối của phần mềm này cho thấy có sự tham gia của các tác nhân đe dọa cấp cao hơn.
Hé lộ các chiến thuật của cuộc tấn công phần mềm độc hại lén lút
Phần mềm độc hại được phát hiện gần đây đã được các nhà nghiên cứu bảo mật đưa ra ánh sáng thông qua hệ thống phát hiện máy học tiên tiến – công nghệ mạnh mẽ xem xét kỹ lưỡng nội dung thực thi tập lệnh PowerShell, cho phép xác định mối đe dọa khó nắm bắt này. Tuy nhiên, bất chấp bước đột phá này, chuỗi lây nhiễm chính xác và sự xâm nhập ban đầu của PowerDrop vẫn còn là một bí ẩn.
Các nhà phân tích suy đoán về các phương pháp tiềm năng mà những kẻ tấn công sử dụng để triển khai tập lệnh PowerDrop. Chúng bao gồm khai thác lỗ hổng, sử dụng email lừa đảo để nhắm mục tiêu nạn nhân hoặc thậm chí sử dụng chiến thuật lừa đảo của các trang web tải xuống phần mềm giả mạo. Con đường chính xác mà qua đó các hệ thống PowerDrop xâm nhập vẫn chưa được xác định. Để tăng cường bản chất bí mật của nó, tập lệnh được mã hóa bằng Base64, cho phép nó hoạt động như một cửa hậu hoặc Trojan truy cập từ xa (RAT). Kỹ thuật tinh vi này cho phép PowerDrop tránh bị phát hiện và duy trì sự bền bỉ trong các hệ thống bị xâm nhập.
Đi sâu vào nhật ký hệ thống sẽ làm sáng tỏ những hiểu biết quan trọng về phương thức hoạt động của PowerDrop. Phân tích cho thấy rằng tập lệnh độc hại đã sử dụng hiệu quả các bộ lọc sự kiện WMI đã đăng ký trước đó và người tiêu dùng với biệt danh riêng biệt 'SystemPowerManager'. Bản thân phần mềm độc hại đã tạo ra cơ chế ngụy trang khéo léo này khi xâm phạm hệ thống bằng công cụ dòng lệnh 'wmic.exe'.
Tiết lộ về các đặc điểm độc đáo của PowerDrop làm sáng tỏ sự tinh vi của các mối đe dọa mạng hiện đại. Với khả năng tránh bị phát hiện và hoạt động bí mật trong các hệ thống bị xâm nhập, PowerDrop minh họa cho sự phát triển không ngừng và sự khéo léo của các tác nhân độc hại trong bối cảnh kỹ thuật số.
Ngành công nghiệp hàng không vũ trụ Hoa Kỳ đang bị tấn công: Sự ra đời của phần mềm độc hại PowerDrop mới ảnh chụp màn hình
