PowerDrop: новая угроза для аэрокосмической промышленности США

Специалисты Adlumin обнаружили новый вид вредоносного программного обеспечения под названием PowerDrop, которое применялось в атаках на американскую аэрокосмическую промышленность. Вирусный скрипт PowerShell был выявлен в компьютерной сети одного из основных подрядчиков Минобороны США.

PowerDrop представляет собой скрипт PowerShell, запускаемый службой управления Windows (WMI) и кодированный в Base64, используемый как бэкдор или RAT. Команда Adlumin смогла выявить PowerDrop благодаря алгоритмам машинного обучения, анализирующим выполнение скриптов PowerShell, хотя точный механизм заражения до сих пор неизвестен.

Эксперты предполагают, что злоумышленники могли использовать эксплойт, фишинг или поддельные сайты для распространения вируса. Проведя анализ системных журналов, было выяснено, что вредоносный скрипт активировался через созданные им фильтры событий WMI и потребителей с именем «SystemPowerManager», используя инструмент командной строки «wmic.exe».

Фильтр событий WMI активируется при обновлении класса WMI, инициируя запуск скрипта PowerShell, который действует через интервалы в 120 секунд. При активации PowerDrop отправляет сигнальное ICMP-сообщение на сервер управления и контроля (C2), сигнализируя о новом заражении.

ICMP-триггер передает незашифрованную строку в кодировке UTF16-LE, помогая C2 отличить его от других запросов. Получив ответ от C2, вредоносное ПО ожидает 60 секунд, затем расшифровывает и выполняет полученные команды, используя 128-битный ключ AES и вектор инициализации.

Выполненные команды отправляются обратно на C2-сервер, разбиваясь на 128-байтные блоки при необходимости. По словам Adlumin, сочетание использования PowerShell и WMI, а также отсутствие сохранения PowerDrop на диск в виде «.ps1» файла делают его особенно труднообнаружимым. Шифрование через AES, использование протокола ICMP для сигнальных сообщений и 120-секундные интервалы между активациями уменьшают вероятность его обнаружения. Все эти характеристики указывают на то, что PowerDrop представляет собой продвинутый инструментарий кибератак.

Этот сайт использует файлы Cookies.

Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы разрешаете их использование. Подробнее

ПРИНЯТЬ