Bilinmeyen bir tehdit aktörünün, adlı yeni bir PowerShell tabanlı kötü amaçlı yazılımla ABD havacılık endüstrisini hedef aldığı gözlemlendi. GüçDrop.
Mayıs 2023’te isimsiz bir yerli havacılık savunma yüklenicisine yerleştirilen kötü amaçlı yazılımı bulan Adlumin’e göre “PowerDrop, algılamadan kaçınmak için aldatma, kodlama ve şifreleme gibi gelişmiş teknikler kullanıyor.”
“Ad, betiği uydurmak için kullanılan Windows PowerShell aracından ve ‘Bırak’, kodda doldurma için kullanılan DROP (DRP) dizesinden türetilmiştir.”
PowerDrop aynı zamanda bir istismar sonrası aracıdır, yani başka yollarla ilk erişimi elde ettikten sonra kurban ağlarından bilgi toplamak için tasarlanmıştır.
Kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusuyla iletişimi başlatmak için İnternet Kontrol Mesajı Protokolü (ICMP) yankı isteği mesajlarını işaretçi olarak kullanır.
Sunucu, güvenliği ihlal edilmiş ana bilgisayarda kodu çözülmüş ve çalıştırılmış şifreli bir komutla yanıt verir. Benzer bir ICMP ping mesajı, talimatın sonuçlarını dışarı sızdırmak için kullanılır.
Dahası, PowerShell komutu, Windows Yönetim Araçları (WMI) hizmeti aracılığıyla yürütülür ve bu, düşmanın tespitten kaçınmak için karada yaşama taktiklerinden yararlanma girişimlerini gösterir.
Adlumin’in strateji başkan yardımcısı Mark Sangster, “Tehdidin çekirdek DNA’sı özellikle karmaşık olmasa da, şüpheli faaliyetleri gizleme ve uç nokta savunmaları tarafından tespit edilmekten kaçınma yeteneği, daha karmaşık tehdit aktörlerine benziyor,” dedi.