Новости PowerDrop: новая киберугроза, нацеленная на аэрокосмическую оборонную промышленность США

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Скрытый троян использует PowerShell и WMI для компрометации и дальнейшего функционирования.


3y6p72cqmya11kvrmyval2jf6cdo6lzu.jpg


Эксперты кибербезопасности из компании Adlumin Для просмотра ссылки Войди или Зарегистрируйся новый вредоносный скрипт под названием «PowerDrop», который использует PowerShell и WMI для внедрения скрытого трояна удалённого доступа в скомпрометированные сети. Скрипт был выявлен специалистами в сети одного из подрядчиков оборонного ведомства США и, по всей видимости, принадлежит хакерской группировке, спонсируемой государством.

PowerDrop — это PowerShell-скрипт, выполняемый службой инструментария управления Windows (WMI) и закодированный с использованием Base64 для работы в качестве бэкдора или RAT .

Просматривая системные журналы, исследователи обнаружили, что вредоносный скрипт был использован с применением ранее зарегистрированных фильтров событий WMI и пользователей с именем SystemPowerManager, созданных вредоносной программой при компрометации системы с использованием инструмента командной строки «wmic.exe».

По данным экспертов Adlumin, фильтр событий WMI срабатывает при обновлении класса, что в свою очередь запускает выполнение скрипта PowerShell. Срабатывание фильтра ограничено одним разом в 120 секунд.

После активации PowerDrop отправляет зашифрованный ICMP -запрос на свой C2-сервер , сообщая об успешном заражении. Затем он выжидает 60 секунд для получения ответа, который обычно содержит команду для выполнения.

Затем скрипт расшифровывает полученный ответ от сервера в виде пакета данных с помощью жёстко заданного 128-битного AES-ключа и 128-битного вектора инициализации, после чего выполняет требуемую команду на заражённом хосте.

После выполнения команды PowerDrop отправляет результаты обратно на C2-сервер, а если они слишком большие, то разбивает их на 128-байтовые фрагменты, которые затем передаются в потоке из нескольких сообщений.

Исследователи Adlumin пришли к выводу, что использование хакерами PowerShell и WMI в сочетании с тем фактом, что PowerDrop никогда не обращается к диску, а все его коммуникации с C2-сервером тщательно зашифрованы, делает угрозу особенно скрытной.

Организациям, особенно из аэрокосмической оборонной промышленности США, необходимо сохранять бдительность в отношении этой угрозы, отслеживая выполнение PowerShell и выявляя необычные действия в WMI.
 
Источник новости
www.securitylab.ru

Похожие темы