美國航空航天業受到攻擊：新型 PowerDrop 惡意軟件的出現

Computer Security 美國航空航天業受到攻擊：新型 PowerDrop 惡意軟件的出現

之前身份不明的網絡威脅參與者通過部署新發現的基於 PowerShell 的惡意軟件PowerDrop將注意力轉向美國航空航天業。這種高級惡意軟件利用各種欺騙性策略、編碼技術和加密來避免檢測。 “PowerDrop”這個名稱源於它對 Windows PowerShell 工具的依賴以及併入其填充代碼中的“DROP”(DRP) 字符串。

PowerDrop 是一種後期開發工具，旨在在通過替代方法獲得未經授權的訪問後從受感染的網絡中收集敏感信息。為了與命令和控制 (C2) 服務器建立通信，惡意軟件使用互聯網控制消息協議 (ICMP) 回顯請求消息作為信標。然後，C2 服務器以在受感染主機上解碼和執行的加密命令進行響應。同樣，ICMP ping 消息旨在洩露這些指令的結果。

值得注意的是，PowerDrop 利用 Windows Management Instrumentation (WMI) 服務來執行 PowerShell 命令，展示了威脅行為者使用“離地生活”技術來逃避檢測。雖然惡意軟件的核心性質可能並不特別複雜，但其混淆可疑活動和規避端點防禦的能力表明更高級的威脅參與者參與其中。

揭示隱形惡意軟件攻擊的策略

安全研究人員通過先進的機器學習檢測系統發現了最近發現的惡意軟件——這項強大的技術可以仔細檢查 PowerShell 腳本執行的內容，從而能夠識別這種難以捉摸的威脅。然而，儘管取得了這一突破，但 PowerDrop 的確切感染鍊和最初的妥協仍然籠罩在神秘之中。

分析師推測攻擊者部署 PowerDrop 腳本可能採用的方法。其中包括利用漏洞、利用網絡釣魚電子郵件來鎖定受害者，甚至訴諸欺騙性軟件下載站點的欺騙策略。 PowerDrop 滲透系統的確切途徑尚未確定。為了增強其隱蔽性，該腳本使用 Base64 進行編碼，使其可以充當後門或遠程訪問木馬 (RAT) 。這種複雜的技術使 PowerDrop 能夠逃避檢測並在受感染的系統中保持持久性。

深入研究系統日誌可以揭示對 PowerDrop 作案手法的重要見解。分析表明，惡意腳本有效地利用了之前註冊的 WMI 事件過濾器和具有獨特名稱“SystemPowerManager”的消費者。惡意軟件本身在使用“wmic.exe”命令行工具破壞系統時創建了這種巧妙的偽裝機制。

PowerDrop 獨特特性的揭示揭示了現代網絡威脅的複雜性。憑藉其逃避檢測和在受感染系統內秘密操作的能力，PowerDrop 體現了惡意行為者在數字領域的不斷進化和獨創性。

之前身份不明的網絡威脅參與者通過部署新發現的基於 PowerShell 的惡意軟件 PowerDrop 將注意力轉向美國航空航天業。這種高級惡意軟件利用各種欺騙性策略、編碼技術和加密來避免檢測。 “PowerDrop”這個名稱源於它對 Windows PowerShell 工具的依賴以及併入其填充代碼中的“DROP”(DRP) 字符串。

揭示隱形惡意軟件攻擊的策略

分析師推測攻擊者部署 PowerDrop 腳本可能採用的方法。其中包括利用漏洞、利用網絡釣魚電子郵件來鎖定受害者，甚至訴諸欺騙性軟件下載站點的欺騙策略。 PowerDrop 滲透系統的確切途徑尚未確定。為了增強其隱蔽性，該腳本使用 Base64 進行編碼，使其可以充當後門或遠程訪問木馬 (RAT)。這種複雜的技術使 PowerDrop 能夠逃避檢測並在受感染的系統中保持持久性。

搜索

更改區域

美國航空航天業受到攻擊：新型 PowerDrop 惡意軟件的出現

揭示隱形惡意軟件攻擊的策略

揭示隱形惡意軟件攻擊的策略