美国航空航天业受到攻击：新型 PowerDrop 恶意软件的出现

Computer Security 美国航空航天业受到攻击：新型 PowerDrop 恶意软件的出现

之前身份不明的网络威胁参与者通过部署新发现的基于 PowerShell 的恶意软件PowerDrop将他们的注意力转向美国航空航天业。这种高级恶意软件利用各种欺骗性策略、编码技术和加密来避免检测。 “PowerDrop”这个名称源于它对 Windows PowerShell 工具的依赖以及并入其填充代码中的“DROP”(DRP) 字符串。

PowerDrop 是一种后开发工具，旨在在通过替代方法获得未经授权的访问后从受感染的网络收集敏感信息。为了与命令和控制 (C2) 服务器建立通信，该恶意软件使用互联网控制消息协议 (ICMP) 回显请求消息作为信标。然后，C2 服务器以在受感染主机上解码和执行的加密命令进行响应。同样，ICMP ping 消息旨在泄露这些指令的结果。

值得注意的是，PowerDrop 利用 Windows Management Instrumentation (WMI) 服务来执行 PowerShell 命令，展示了威胁行为者使用“离地生活”技术来逃避检测。虽然恶意软件的核心性质可能并不特别复杂，但其混淆可疑活动和规避端点防御的能力表明更高级的威胁参与者参与其中。

揭示隐形恶意软件攻击的策略

安全研究人员通过先进的机器学习检测系统发现了最近发现的恶意软件——这项强大的技术可以仔细检查 PowerShell 脚本执行的内容，从而能够识别这种难以捉摸的威胁。然而，尽管取得了这一突破，但 PowerDrop 的确切感染链和最初的妥协仍然笼罩在神秘之中。

分析师推测攻击者部署 PowerDrop 脚本可能采用的方法。其中包括利用漏洞、利用网络钓鱼电子邮件来锁定受害者，甚至诉诸欺骗性软件下载站点的欺骗策略。 PowerDrop 渗透系统的确切途径尚未确定。为了增强其隐蔽性，该脚本使用 Base64 进行编码，使其可以充当后门或远程访问木马 (RAT) 。这种复杂的技术使 PowerDrop 能够逃避检测并在受感染的系统中保持持久性。

深入研究系统日志可以揭示对 PowerDrop 作案手法的重要见解。分析表明，恶意脚本有效地利用了之前注册的 WMI 事件过滤器和具有独特名称“SystemPowerManager”的消费者。恶意软件本身在使用“wmic.exe”命令行工具破坏系统时创建了这种巧妙的伪装机制。

PowerDrop 独特特性的揭示揭示了现代网络威胁的复杂性。凭借其逃避检测和在受感染系统内秘密操作的能力，PowerDrop 体现了恶意行为者在数字领域的不断进化和独创性。

之前身份不明的网络威胁参与者通过部署新发现的基于 PowerShell 的恶意软件 PowerDrop 将注意力转向美国航空航天业。这种高级恶意软件利用各种欺骗性策略、编码技术和加密来避免检测。 “PowerDrop”这个名称源于它对 Windows PowerShell 工具的依赖以及并入其填充代码中的“DROP”(DRP) 字符串。

PowerDrop 是一种后期开发工具，旨在在通过替代方法获得未经授权的访问后从受感染的网络中收集敏感信息。为了与命令和控制 (C2) 服务器建立通信，恶意软件使用互联网控制消息协议 (ICMP) 回显请求消息作为信标。然后，C2 服务器以在受感染主机上解码和执行的加密命令进行响应。同样，ICMP ping 消息旨在泄露这些指令的结果。

揭示隐形恶意软件攻击的策略

分析师推测攻击者部署 PowerDrop 脚本可能采用的方法。其中包括利用漏洞、利用网络钓鱼电子邮件来锁定受害者，甚至诉诸欺骗性软件下载站点的欺骗策略。 PowerDrop 渗透系统的确切途径尚未确定。为了增强其隐蔽性，该脚本使用 Base64 进行编码，使其可以充当后门或远程访问木马 (RAT)。这种复杂的技术使 PowerDrop 能够逃避检测并在受感染的系统中保持持久性。

搜索

更改区域

美国航空航天业受到攻击：新型 PowerDrop 恶意软件的出现

揭示隐形恶意软件攻击的策略

揭示隐形恶意软件攻击的策略