Bilinmeyen bir tehdit aktörünün, adlı yeni bir PowerShell tabanlı kötü amaçlı yazılımla ABD havacılık endüstrisini hedef aldığı gözlemlendi. GüçDrop.
Adlumin’e göre “PowerDrop, algılamadan kaçınmak için aldatma, kodlama ve şifreleme gibi gelişmiş teknikler kullanır”. kötü amaçlı yazılımı buldu Mayıs 2023’te isimsiz bir yerli havacılık savunma yüklenicisine yerleştirildi.
“Ad, komut dosyasını oluşturmak için kullanılan Windows PowerShell aracından ve ‘Bırak’, kodda doldurma için kullanılan DROP (DRP) dizesinden türetilmiştir.”
PowerDrop aynı zamanda bir istismar sonrası aracıdır, yani başka yollarla ilk erişimi elde ettikten sonra kurban ağlarından bilgi toplamak için tasarlanmıştır.
Kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusuyla iletişimi başlatmak için İnternet Kontrol Mesajı Protokolü (ICMP) yankı isteği mesajlarını işaretçi olarak kullanır.
Sunucu, güvenliği ihlal edilmiş ana bilgisayarda kodu çözülmüş ve çalıştırılmış şifreli bir komutla yanıt verir. Talimatın sonuçlarını dışarı sızdırmak için benzer bir ICMP ping mesajı kullanılır.
Dahası, PowerShell komutu, Windows Yönetim Araçları (WMI) hizmet, düşmanın tespitten kaçınmak için karada yaşama taktiklerinden yararlanma girişimlerini gösterir.
Adlumin’in strateji başkan yardımcısı Mark Sangster, “Tehdidin çekirdek DNA’sı özellikle karmaşık olmasa da, şüpheli faaliyetleri gizleme ve uç nokta savunmaları tarafından tespit edilmekten kaçınma yeteneği, daha karmaşık tehdit aktörlerine benziyor,” dedi.