Ένα νέο PowerShell malware script, με την ονομασία “PowerDrop”, ανακαλύφθηκε ότι χρησιμοποιείται σε επιθέσεις με στόχο την αμερικανική αεροδιαστημική αμυντική βιομηχανία.
Η Adlumin ανακάλυψε το PowerDrop τον περασμένο μήνα, όταν βρήκε ένα δείγμα του κακόβουλου λογισμικού στο δίκτυο ενός αμυντικού εργολάβου στις ΗΠΑ.
Η εταιρεία αναφέρει ότι το PowerDrop χρησιμοποιεί το PowerShell και το WMI (Windows Management Instrumentation) για να δημιουργήσει ένα επίμονο RAT (remote access trojan) στα δίκτυα που έχουν παραβιαστεί.
Οι επιχειρησιακές τακτικές του κακόβουλου λογισμικού βρίσκονται μεταξύ του “έτοιμου” κακόβουλου λογισμικού και των προηγμένων τεχνικών APT, ενώ ο χρόνος και οι στόχοι υποδηλώνουν ότι ο επιτιθέμενος είναι πιθανότατα κρατικά χρηματοδοτούμενος.
Δείτε επίσης: Νέα καμπάνια Vidar malware θέτει στο στόχαστρο τους διαδικτυακούς πωλητές
Λεπτομέρειες επίθεσης PowerDrop
Η Adlumin εντόπισε το PowerDrop χρησιμοποιώντας machine learning detection που εξετάζει το περιεχόμενο της εκτέλεσης των PowerShell script, ωστόσο, η αλυσίδα μόλυνσης ή η αρχική παραβίαση είναι άγνωστη.
Οι αναλυτές υποθέτουν ότι οι επιτιθέμενοι μπορεί να έχουν αναπτύξει το script χρησιμοποιώντας ένα exploit, μέσω phishing email προς τους στόχους ή παραπλανώντας ιστότοπους λήψης λογισμικού.
Το PowerDrop είναι ένα PowerShell script που εκτελείται από την υπηρεσία Windows Management Instrumentation (WMI) και κωδικοποιείται χρησιμοποιώντας το Base64 για να λειτουργεί ως backdoor ή RAT.
Εξετάζοντας τα αρχεία καταγραφής του συστήματος, οι ερευνητές ανακάλυψαν ότι το κακόβουλο script είχε εκτελεστεί χρησιμοποιώντας καταχωρημένα φίλτρα συμβάντων του Windows Management Instrumentation (WMI) και καταναλωτές με το όνομα “SystemPowerManager”, τα οποία δημιουργήθηκαν από το κακόβουλο λογισμικό κατά την παραβίαση του συστήματος με τη χρήση του εργαλείου γραμμής εντολών “wmic.exe”.
Το WMI είναι μια ενσωματωμένη λειτουργία των Windows που επιτρέπει στους χρήστες να ζητούν διάφορες πληροφορίες από τοπικούς ή απομακρυσμένους υπολογιστές. Σε αυτή την περίπτωση, γίνεται κατάχρηση για την ενεργοποίηση ερωτημάτων εντολών PowerShell για ενημερώσεις σε μια κλάση παρακολούθησης επιδόσεων.
Δείτε επίσης: Η ισπανική τράπεζα Globalcaja χτυπήθηκε από επίθεση ransomware
Η συγκεκριμένη κλάση ενημερώνεται συχνά με πληροφορίες που σχετίζονται με τις επιδόσεις, όπως διεργασίες, threads, κλήσεις συστήματος ανά δευτερόλεπτο και queue length, οπότε η τοποθέτηση μιας κακόβουλης ενεργοποίησης συμβάντος κάθε δύο λεπτά είναι απίθανο να κινήσει υποψίες.
Μόλις ενεργοποιηθεί το PowerDrop script, στέλνει ένα hardcoded ICMP echo στη διεύθυνση του διακομιστή C2, υποδεικνύοντας ότι μια νέα μόλυνση είναι ενεργή.
Το payload του ICMP trigger είναι μια κωδικοποιημένη συμβολοσειρά UTF-16-LE, η οποία βοηθά την υποδομή C2 να τη διακρίνει από τυχαίες ανιχνεύσεις.
Αφού αποσταλεί το beacon στον διακομιστή C2, το malware περιμένει για 60 δευτερόλεπτα μια απάντηση από τον C2. Συνήθως, πρόκειται για ένα κρυπτογραφημένο και padded payload που περιέχει μια εντολή προς εκτέλεση.
Το malware αποκρυπτογραφεί το ωφέλιμο φορτίο που αποστέλλεται χρησιμοποιώντας ένα hardcoded κλειδί AES 128 bit και ένα διάνυσμα αρχικοποίησης 128 bit και στη συνέχεια εκτελεί την εντολή που περιέχεται στον host.
Στη συνέχεια, το PowerDrop στέλνει τα αποτελέσματα της εκτέλεσης της εντολής πίσω στον διακομιστή C2. Εάν είναι πολύ μεγάλα, τα χωρίζει σε κομμάτια των 128 byte και τα μεταδίδει σε μια ροή πολλαπλών μηνυμάτων.
Η Adlumin καταλήγει στο συμπέρασμα ότι το PowerShell και το WMI, σε συνδυασμό με το γεγονός ότι το PowerDrop δεν αγγίζει ποτέ το δίσκο ως script file “.ps1”, το καθιστούν ιδιαίτερα αθόρυβο.
Δείτε επίσης: Η ομάδα Cyclops ransomware προσφέρει Go-based info stealer σε κυβερνοεγκληματίες
Οι επικοινωνίες του είναι κρυπτογραφημένες με AES, το πρωτόκολλο ICMP που χρησιμοποιείται για το beacon signaling είναι κοινό στις επικοινωνίες δικτύου και το διάστημα των 120 δευτερολέπτων μεταξύ της κακόβουλης δικτυακής κίνησης μειώνει την πιθανότητα εντοπισμού.
Οι οργανισμοί, ιδίως όσοι δραστηριοποιούνται στην αεροδιαστημική και αμυντική βιομηχανία, πρέπει να επαγρυπνούν για αυτή την απειλή, παρακολουθώντας την εκτέλεση του PowerShell και αναζητώντας ασυνήθιστη δραστηριότητα WMI.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/468003/to-neo-powerdrop-powershell-malware-stoxevei-tin-aerodiastimiko-viomixania-twn-ipa/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/03/flaw.jpg&description=Ένα νέο PowerShell malware script, με την ονομασία "PowerDrop", ανακαλύφθηκε ότι χρησιμοποιείται σε επιθέσεις με στόχο την αμερικανική...){kind=link}