Ein bisher nicht identifizierter Cyber-Bedrohungsakteur lenkt seine Aufmerksamkeit auf die US-amerikanische Luft- und Raumfahrtindustrie, indem er eine neu entdeckte PowerShell-basierte Malware namens PowerDrop einsetzt. Diese fortschrittliche Malware nutzt verschiedene betrügerische Taktiken, Kodierungstechniken und Verschlüsselung, um einer Entdeckung zu entgehen. Der Name „PowerDrop“ leitet sich von der Verwendung des Windows PowerShell-Tools und der in den Code integrierten Zeichenfolge „DROP“ (DRP) zum Auffüllen ab.
PowerDrop ist ein Post-Exploitation-Tool, das darauf ausgelegt ist, vertrauliche Informationen aus kompromittierten Netzwerken zu sammeln, nachdem über alternative Methoden unbefugter Zugriff erlangt wurde. Um die Kommunikation mit einem Command-and-Control (C2)-Server zu regeln, verwendet die Malware Echo-Request-Nachrichten des Internet Control Message Protocol (ICMP) als Beacons. Der C2-Server antwortet dann mit verschlüsselten Befehlen, die dekodiert und auf dem gefährdeten Host ausgeführt werden. Ebenso zielt eine ICMP-Ping-Nachricht darauf ab, die Ergebnisse dieser Anweisungen herauszufiltern.
Insbesondere nutzt PowerDrop den Windows Management Instrumentation (WMI)-Dienst, um die PowerShell-Befehle auszuführen, was zeigt, dass der Bedrohungsakteur „Living-Off-the-Land“-Techniken einsetzt, um der Entdeckung zu entgehen. Obwohl die Kernnatur der Malware möglicherweise nicht besonders ausgefeilt ist, weist ihre Fähigkeit, verdächtige Aktivitäten zu verschleiern und Endpunktverteidigungen zu umgehen, auf die Beteiligung fortgeschrittenerer Bedrohungsakteure hin.
Inhaltsverzeichnis
Enthüllung der Taktiken des heimlichen Malware-Angriffs
Die kürzlich entdeckte Malware wurde von Sicherheitsforschern mithilfe eines fortschrittlichen Erkennungssystems für maschinelles Lernen ans Licht gebracht – einer leistungsstarken Technologie, die den Inhalt von PowerShell-Skriptausführungen untersucht und so die Identifizierung dieser schwer fassbaren Bedrohung ermöglicht. Doch trotz dieses Durchbruchs bleiben die genaue Infektionskette und die anfängliche Kompromittierung von PowerDrop weiterhin rätselhaft.
Analysten spekulieren über die möglichen Methoden der Angreifer, um das PowerDrop-Skript einzusetzen. Dazu gehören das Ausnutzen von Schwachstellen, der Einsatz von Phishing-E-Mails zur gezielten Ansprache von Opfern oder sogar der Rückgriff auf die betrügerische Taktik gefälschter Software-Download-Sites. Der genaue Weg, über den PowerDrop in Systeme eindrang, muss noch ermittelt werden. Um seinen verdeckten Charakter zu verstärken, ist das Skript mit Base64 codiert, sodass es als Hintertür oder Remote Access Trojan (RAT) fungieren kann. Diese hochentwickelte Technik ermöglicht es PowerDrop, der Erkennung zu entgehen und die Persistenz in kompromittierten Systemen aufrechtzuerhalten.
Die Untersuchung der Systemprotokolle liefert wichtige Einblicke in die Arbeitsweise von PowerDrop. Die Analyse ergab, dass das bösartige Skript zuvor registrierte WMI-Ereignisfilter und -Verbraucher mit dem eindeutigen Spitznamen „SystemPowerManager“ effektiv nutzte. Die Malware selbst hat diesen geschickt getarnten Mechanismus erstellt, indem sie das System mithilfe des Befehlszeilentools „wmic.exe“ kompromittiert hat.
Die Offenbarung der einzigartigen Eigenschaften von PowerDrop wirft ein Licht auf die Komplexität moderner Cyber-Bedrohungen. Mit seiner Fähigkeit, sich der Entdeckung zu entziehen und heimlich in kompromittierten Systemen zu operieren, ist PowerDrop ein Beispiel für die ständige Weiterentwicklung und den Einfallsreichtum böswilliger Akteure in der digitalen Landschaft.
Ein bisher nicht identifizierter Cyber-Bedrohungsakteur lenkt seine Aufmerksamkeit auf die US-amerikanische Luft- und Raumfahrtindustrie, indem er eine neu entdeckte PowerShell-basierte Malware namens PowerDrop einsetzt. Diese fortschrittliche Malware nutzt verschiedene betrügerische Taktiken, Kodierungstechniken und Verschlüsselung, um einer Entdeckung zu entgehen. Der Name „PowerDrop“ leitet sich von der Verwendung des Windows PowerShell-Tools und der in den Code integrierten Zeichenfolge „DROP“ (DRP) zum Auffüllen ab.
PowerDrop ist ein Post-Exploitation-Tool, das darauf ausgelegt ist, vertrauliche Informationen aus kompromittierten Netzwerken zu sammeln, nachdem über alternative Methoden unbefugter Zugriff erlangt wurde. Um die Kommunikation mit einem Command-and-Control (C2)-Server zu regeln, verwendet die Malware Echo-Request-Nachrichten des Internet Control Message Protocol (ICMP) als Beacons. Der C2-Server antwortet dann mit verschlüsselten Befehlen, die dekodiert und auf dem gefährdeten Host ausgeführt werden. Ebenso zielt eine ICMP-Ping-Nachricht darauf ab, die Ergebnisse dieser Anweisungen herauszufiltern.
Insbesondere nutzt PowerDrop den Windows Management Instrumentation (WMI)-Dienst, um die PowerShell-Befehle auszuführen, was zeigt, dass der Bedrohungsakteur „Living-Off-the-Land“-Techniken einsetzt, um der Entdeckung zu entgehen. Obwohl die Kernnatur der Malware möglicherweise nicht besonders ausgefeilt ist, weist ihre Fähigkeit, verdächtige Aktivitäten zu verschleiern und Endpunktverteidigungen zu umgehen, auf die Beteiligung fortgeschrittenerer Bedrohungsakteure hin.
Enthüllung der Taktiken des heimlichen Malware-Angriffs
Die kürzlich entdeckte Malware wurde von Sicherheitsforschern mithilfe eines fortschrittlichen Erkennungssystems für maschinelles Lernen ans Licht gebracht – einer leistungsstarken Technologie, die den Inhalt von PowerShell-Skriptausführungen untersucht und so die Identifizierung dieser schwer fassbaren Bedrohung ermöglicht. Doch trotz dieses Durchbruchs bleiben die genaue Infektionskette und die anfängliche Kompromittierung von PowerDrop weiterhin rätselhaft.
Analysten spekulieren über die möglichen Methoden der Angreifer, um das PowerDrop-Skript einzusetzen. Dazu gehören das Ausnutzen von Schwachstellen, der Einsatz von Phishing-E-Mails zur gezielten Ansprache von Opfern oder sogar der Rückgriff auf die betrügerische Taktik gefälschter Software-Download-Sites. Der genaue Weg, über den PowerDrop in Systeme eindrang, muss noch ermittelt werden. Um seinen verdeckten Charakter zu verstärken, ist das Skript mit Base64 codiert, sodass es als Hintertür oder Remote Access Trojan (RAT) fungieren kann. Diese hochentwickelte Technik ermöglicht es PowerDrop, der Erkennung zu entgehen und die Persistenz in kompromittierten Systemen aufrechtzuerhalten.
Die Untersuchung der Systemprotokolle liefert wichtige Einblicke in die Arbeitsweise von PowerDrop. Die Analyse ergab, dass das bösartige Skript zuvor registrierte WMI-Ereignisfilter und -Verbraucher mit dem eindeutigen Spitznamen „SystemPowerManager“ effektiv nutzte. Die Malware selbst hat diesen geschickt getarnten Mechanismus erstellt, indem sie das System mithilfe des Befehlszeilentools „wmic.exe“ kompromittiert hat.
Die Offenbarung der einzigartigen Eigenschaften von PowerDrop wirft ein Licht auf die Komplexität moderner Cyber-Bedrohungen. Mit seiner Fähigkeit, sich der Entdeckung zu entziehen und heimlich in kompromittierten Systemen zu operieren, ist PowerDrop ein Beispiel für die ständige Weiterentwicklung und den Einfallsreichtum böswilliger Akteure in der digitalen Landschaft.
US-Luft- und Raumfahrtindustrie unter Beschuss: Die Einführung neuer PowerDrop-Malware Screenshots
