Un actor de amenazas cibernéticas no identificado previamente dirige su atención hacia la industria aeroespacial de EE. UU. al implementar un malware basado en PowerShell recientemente descubierto llamado PowerDrop . Este malware avanzado utiliza varias tácticas engañosas, técnicas de codificación y cifrado para evitar la detección. El nombre "PowerDrop" se deriva de su dependencia de la herramienta Windows PowerShell y la cadena "DROP" (DRP) incorporada en su código para el relleno.
PowerDrop es una herramienta posterior a la explotación diseñada para recopilar información confidencial de redes comprometidas después de obtener acceso no autorizado a través de métodos alternativos. Para establecer la comunicación con un servidor de comando y control (C2), el malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas. El servidor C2 luego responde con comandos encriptados decodificados y ejecutados en el host comprometido. De manera similar, un mensaje de ping ICMP tiene como objetivo filtrar los resultados de estas instrucciones.
En particular, PowerDrop aprovecha el servicio de Instrumental de administración de Windows (WMI) para ejecutar los comandos de PowerShell, lo que muestra el uso que hace el actor de amenazas de técnicas de "living-off-the-land" para evadir la detección. Si bien la naturaleza central del malware puede no ser excepcionalmente sofisticada, su capacidad para ofuscar actividades sospechosas y evadir las defensas de los terminales indica la participación de actores de amenazas más avanzados.
Tabla de contenido
Revelando las tácticas del ataque sigiloso de malware
Los investigadores de seguridad han sacado a la luz el malware descubierto recientemente a través de un sistema avanzado de detección de aprendizaje automático: una tecnología poderosa que analiza el contenido de las ejecuciones de scripts de PowerShell, lo que permite la identificación de esta amenaza escurridiza. Sin embargo, a pesar de este avance, la cadena de infección exacta y el compromiso inicial de PowerDrop siguen siendo un misterio.
Los analistas especulan sobre los posibles métodos empleados por los atacantes para implementar el script PowerDrop. Estos incluyen la explotación de vulnerabilidades, el uso de correos electrónicos de phishing para atacar a las víctimas o incluso recurrir a la táctica engañosa de los sitios de descarga de software falsificados. La vía exacta a través de la cual PowerDrop se infiltró en los sistemas aún no se ha determinado. Para mejorar su naturaleza encubierta, el script se codifica con Base64, lo que le permite funcionar como una puerta trasera o un troyano de acceso remoto (RAT) . Esta técnica sofisticada permite que PowerDrop evada la detección y mantenga la persistencia dentro de los sistemas comprometidos.
Profundizar en los registros del sistema revela información crucial sobre el modus operandi de PowerDrop. El análisis reveló que el script malicioso utilizaba efectivamente filtros de eventos WMI registrados previamente y consumidores con el apodo distintivo 'SystemPowerManager'. El propio malware creó este mecanismo inteligentemente camuflado al comprometer el sistema utilizando la herramienta de línea de comandos 'wmic.exe'.
La revelación de las características únicas de PowerDrop arroja luz sobre la sofisticación de las ciberamenazas modernas. Con su capacidad para evadir la detección y operar de forma encubierta dentro de sistemas comprometidos, PowerDrop ejemplifica la constante evolución e ingenio de los actores maliciosos en el panorama digital.
Un actor de amenazas cibernéticas no identificado previamente dirige su atención hacia la industria aeroespacial de los EE. UU. al implementar un malware basado en PowerShell recientemente descubierto llamado PowerDrop. Este malware avanzado utiliza varias tácticas engañosas, técnicas de codificación y cifrado para evitar la detección. El nombre "PowerDrop" se deriva de su dependencia de la herramienta Windows PowerShell y la cadena "DROP" (DRP) incorporada en su código para el relleno.
PowerDrop es una herramienta posterior a la explotación diseñada para recopilar información confidencial de redes comprometidas después de obtener acceso no autorizado a través de métodos alternativos. Para establecer la comunicación con un servidor de comando y control (C2), el malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas. El servidor C2 luego responde con comandos encriptados decodificados y ejecutados en el host comprometido. De manera similar, un mensaje de ping ICMP tiene como objetivo filtrar los resultados de estas instrucciones.
En particular, PowerDrop aprovecha el servicio de Instrumental de administración de Windows (WMI) para ejecutar los comandos de PowerShell, mostrando el uso que hace el actor de amenazas de técnicas de "living off-the-land" para evadir la detección. Si bien la naturaleza central del malware puede no ser excepcionalmente sofisticada, su capacidad para ofuscar actividades sospechosas y evadir las defensas de los terminales indica la participación de actores de amenazas más avanzados.
Revelando las tácticas del ataque sigiloso de malware
Los investigadores de seguridad han sacado a la luz el malware descubierto recientemente a través de un sistema avanzado de detección de aprendizaje automático: una tecnología poderosa que analiza el contenido de las ejecuciones de scripts de PowerShell, lo que permite la identificación de esta esquiva amenaza. Sin embargo, a pesar de este avance, la cadena de infección exacta y el compromiso inicial de PowerDrop siguen siendo un misterio.
Los analistas especulan sobre los posibles métodos empleados por los atacantes para implementar el script PowerDrop. Estos incluyen la explotación de vulnerabilidades, el uso de correos electrónicos de phishing para atacar a las víctimas o incluso recurrir a la táctica engañosa de los sitios de descarga de software falsificados. La vía exacta a través de la cual PowerDrop se infiltró en los sistemas aún no se ha determinado. Para mejorar su naturaleza encubierta, el script se codifica con Base64, lo que le permite funcionar como una puerta trasera o un troyano de acceso remoto (RAT). Esta técnica sofisticada permite que PowerDrop evada la detección y mantenga la persistencia dentro de los sistemas comprometidos.
Profundizar en los registros del sistema revela información crucial sobre el modus operandi de PowerDrop. El análisis reveló que el script malicioso utilizaba efectivamente filtros de eventos WMI registrados previamente y consumidores con el apodo distintivo 'SystemPowerManager'. El propio malware creó este mecanismo inteligentemente camuflado al comprometer el sistema utilizando la herramienta de línea de comandos 'wmic.exe'.
La revelación de las características únicas de PowerDrop arroja luz sobre la sofisticación de las ciberamenazas modernas. Con su capacidad para evadir la detección y operar de forma encubierta dentro de sistemas comprometidos, PowerDrop ejemplifica la constante evolución e ingenio de los actores maliciosos en el panorama digital.
La industria aeroespacial de EE. UU. bajo ataque: la introducción del nuevo malware PowerDrop capturas de pantalla
