Un acteur de la cyber-menace non identifié auparavant dirige son attention vers l'industrie aérospatiale américaine en déployant un logiciel malveillant basé sur PowerShell récemment découvert appelé PowerDrop . Ce malware avancé utilise diverses tactiques trompeuses, techniques de codage et cryptage pour éviter la détection. Le nom "PowerDrop" dérive de sa dépendance à l'outil Windows PowerShell et à la chaîne "DROP" (DRP) incorporée dans son code pour le remplissage.
PowerDrop est un outil de post-exploitation conçu pour recueillir des informations sensibles à partir de réseaux compromis après avoir obtenu un accès non autorisé par des méthodes alternatives. Pour établir la communication avec un serveur Command-and-Control (C2), le logiciel malveillant utilise des messages de demande d'écho ICMP (Internet Control Message Protocol) comme balises. Le serveur C2 répond alors avec des commandes cryptées décodées et exécutées sur l'hôte compromis. De même, un message ping ICMP vise à exfiltrer les résultats de ces instructions.
Notamment, PowerDrop exploite le service Windows Management Instrumentation (WMI) pour exécuter les commandes PowerShell, mettant en évidence l'utilisation par l'acteur de la menace de techniques "vivant hors de la terre" pour échapper à la détection. Bien que la nature de base du logiciel malveillant ne soit pas exceptionnellement sophistiquée, sa capacité à masquer les activités suspectes et à échapper aux défenses des terminaux indique l'implication d'acteurs malveillants plus avancés.
Table des matières
Dévoilement des tactiques de l'attaque furtive des logiciels malveillants
Le logiciel malveillant récemment découvert a été mis au jour par des chercheurs en sécurité via un système de détection d'apprentissage automatique avancé - une technologie puissante qui examine le contenu des exécutions de scripts PowerShell, permettant l'identification de cette menace insaisissable. Cependant, malgré cette percée, la chaîne d'infection exacte et le compromis initial de PowerDrop restent entourés de mystère.
Les analystes spéculent sur les méthodes potentielles employées par les attaquants pour déployer le script PowerDrop. Celles-ci incluent l'exploitation des vulnérabilités, l'utilisation d'e-mails de phishing pour cibler les victimes, ou même le recours à la tactique trompeuse des sites de téléchargement de logiciels usurpés. La voie exacte par laquelle PowerDrop a infiltré les systèmes reste à déterminer. Pour renforcer sa nature secrète, le script est codé en Base64, ce qui lui permet de fonctionner comme une porte dérobée ou un cheval de Troie d'accès à distance (RAT) . Cette technique sophistiquée permet à PowerDrop d'échapper à la détection et de maintenir la persistance dans les systèmes compromis.
Fouiller dans les journaux système dévoile des informations cruciales sur le mode opératoire de PowerDrop. L'analyse a révélé que le script malveillant utilisait efficacement des filtres d'événements et des consommateurs WMI précédemment enregistrés avec le surnom distinct "SystemPowerManager". Le logiciel malveillant lui-même a créé ce mécanisme intelligemment camouflé en compromettant le système à l'aide de l'outil de ligne de commande "wmic.exe".
La révélation des caractéristiques uniques de PowerDrop met en lumière la sophistication des cybermenaces modernes. Avec sa capacité à échapper à la détection et à opérer secrètement dans des systèmes compromis, PowerDrop illustre l'évolution constante et l'ingéniosité des acteurs malveillants dans le paysage numérique.
Un acteur de la cyber-menace non identifié auparavant dirige son attention vers l'industrie aérospatiale américaine en déployant un malware basé sur PowerShell récemment découvert appelé PowerDrop. Ce malware avancé utilise diverses tactiques trompeuses, techniques de codage et cryptage pour éviter la détection. Le nom "PowerDrop" dérive de sa dépendance à l'outil Windows PowerShell et à la chaîne "DROP" (DRP) incorporée dans son code pour le remplissage.
PowerDrop est un outil de post-exploitation conçu pour recueillir des informations sensibles à partir de réseaux compromis après avoir obtenu un accès non autorisé par des méthodes alternatives. Pour établir la communication avec un serveur Command-and-Control (C2), le logiciel malveillant utilise des messages de demande d'écho ICMP (Internet Control Message Protocol) comme balises. Le serveur C2 répond alors avec des commandes cryptées décodées et exécutées sur l'hôte compromis. De même, un message ping ICMP vise à exfiltrer les résultats de ces instructions.
Notamment, PowerDrop exploite le service Windows Management Instrumentation (WMI) pour exécuter les commandes PowerShell, mettant en évidence l'utilisation par l'acteur de la menace de techniques "vivant hors de la terre" pour échapper à la détection. Bien que la nature de base du logiciel malveillant ne soit pas exceptionnellement sophistiquée, sa capacité à masquer les activités suspectes et à échapper aux défenses des terminaux indique l'implication d'acteurs malveillants plus avancés.
Dévoilement des tactiques de l'attaque furtive des logiciels malveillants
Le logiciel malveillant récemment découvert a été mis au jour par des chercheurs en sécurité via un système de détection d'apprentissage automatique avancé - une technologie puissante qui examine le contenu des exécutions de scripts PowerShell, permettant l'identification de cette menace insaisissable. Cependant, malgré cette percée, la chaîne d'infection exacte et le compromis initial de PowerDrop restent entourés de mystère.
Les analystes spéculent sur les méthodes potentielles employées par les attaquants pour déployer le script PowerDrop. Celles-ci incluent l'exploitation des vulnérabilités, l'utilisation d'e-mails de phishing pour cibler les victimes, ou même le recours à la tactique trompeuse des sites de téléchargement de logiciels usurpés. La voie exacte par laquelle PowerDrop a infiltré les systèmes reste à déterminer. Pour renforcer sa nature secrète, le script est codé en Base64, ce qui lui permet de fonctionner comme une porte dérobée ou un cheval de Troie d'accès à distance (RAT). Cette technique sophistiquée permet à PowerDrop d'échapper à la détection et de maintenir la persistance dans les systèmes compromis.
Fouiller dans les journaux système dévoile des informations cruciales sur le mode opératoire de PowerDrop. L'analyse a révélé que le script malveillant utilisait efficacement des filtres d'événements et des consommateurs WMI précédemment enregistrés avec le surnom distinct "SystemPowerManager". Le logiciel malveillant lui-même a créé ce mécanisme intelligemment camouflé en compromettant le système à l'aide de l'outil de ligne de commande "wmic.exe".
La révélation des caractéristiques uniques de PowerDrop met en lumière la sophistication des cybermenaces modernes. Avec sa capacité à échapper à la détection et à opérer secrètement dans des systèmes compromis, PowerDrop illustre l'évolution constante et l'ingéniosité des acteurs malveillants dans le paysage numérique.
L'industrie aérospatiale américaine attaquée : l'introduction du nouveau logiciel malveillant PowerDrop captures d'écran
