Adlumin公司最近发现了一种名为PowerDrop的新型恶意软件,其目标是美国的航天工业。这种基于PowerShell的恶意软件被归因于一名尚未确定的威胁行为者。它采用诸如欺骗、编码和加密等复杂策略来避免被检测。研究人员在五月份发现了这种恶意软件,当时它被发现在一个未公开的国内航空防务承包商内。
恶意软件分析
研究人员已经确定,该恶意软件包含了PowerShell和Windows管理工具(WMI)的新颖组合,作为具有持久性的远程控制工具(RAT)。恶意软件通过发送互联网控制消息协议(ICMP)的回显请求信息来运作,这作为其C2功能的触发器。此外,类似的ICMP ping技术也被用于数据渗出目的。
总的来说,分析表明,恶意软件的主要目标是在成功渗入、执行和在服务器内维持持久性后,在目标网络上执行远程命令。
为什么这个问题重要
最近的这次攻击突显了威胁行为者采用的基于现有资源的技术的进步。尽管使用PowerShell进行远程访问和基于WMI的PowerShell脚本的持久化,以及ICMP的触发和隧道技术,并不是新概念,但这种恶意软件展现出的独特组合在过去并未被观察到。它处在基本的、现成的威胁和通常由APT组织采用的复杂策略之间。
尽管威胁本身的基本结构并不特别先进,但其伪装可疑行动和规避端点防御的能力表明更为熟练的威胁行为者可能参与其中。
最新的PowerShell威胁
Vice Society勒索软件团伙开发了一个复杂的PowerShell脚本,用于自动化地从受损网络中窃取数据。该脚本使用基于现有资源的工具来避免被安全软件检测,使防御者难以阻止他们的攻击。在四月份,威胁行为者被发现使用密码保护的WinRAR自解压(SFX)存档在目标系统中安装持久的后门,而不被检测。使用定制的SFX存档允许他们运行PowerShell和恶意脚本,而不触发安全代理。
总结
Adlumin公司警告航空防务行业的个体,要对PowerDrop保持高度警觉。该公司建议在Windows系统上进行漏洞扫描,并保持对任何来自他们网络向外部来源发起的不寻常ping活动的警觉。PowerDrop恶意软件显示了在当代环境中,将传统方法与创新技术相结合的威力。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|新型PowerDrop恶意软件针对美国航天工业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论