Primijećeno je da nepoznati haker cilja američku avio-industriju s novim malicioznim softverom baziranim na PowerShell-u pod nazivom PowerDrop.
“PowerDrop koristi napredne tehnike kako bi izbjegao otkrivanje kao što su obmana, kodiranje i enkripcija” navodi Adlumin, koji je otkrio da je maliciozni softver implantovan u neimenovanom domaćem izvođaču zračno-svemirske odbrane u maju 2023. godine.
“Ime je izvedeno iz alata, Windows PowerShell, koji se koristi za izradu skripte, i ‘Drop’ iz DROP (DRP) stringa koji se koristi u kodu za dopunu.”
PowerDrop je takođe alat za post-eksploataciju, što znači da je dizajniran za prikupljanje informacija sa mreža žrtava nakon dobijanja početnog pristupa drugim sredstvima.
Maliciozni softver koristi eho zahtjeve protokola ICMP (Internet Control Message Protocol) kao signalne signale za iniciranje komunikacije sa serverom za komandu i kontrolu (C2).
Server, sa svoje strane, odgovara šifrovanom komandom koja se dekodira i izvodi na kompromitovanom hostu. Slična ICMP ping poruka se koristi za eksfiltrovanje rezultata instrukcije.
Štaviše, PowerShell naredba se izvršava pomoću usluge Windows Management Instrumentation (WMI), što ukazuje na pokušaje protivnika da iskoristi taktiku života izvan zemlje kako bi zaobišla detekciju.
“Iako jezgro DNK pretnje nije posebno sofistikovano, njena sposobnost da prikrije sumnjive aktivnosti i izbjegne otkrivanje od strane odbrane krajnjih tačaka liči na sofistikovanije hakere” rekao je Mark Sangster, potpredsjednik strategije u Adlumin-u.
Izvor: The Hacker News
