یک هکر جدید صنعت هوافضای ایالات متحده را با بدافزار جدید مبتنی بر PowerShell به نام PowerDrop هدف قرار داده است. به گفته Adlumin که در ماه می 2023 این بدافزار را در یک قرارداد دفاعی داخلی هوافضای داخلی کشف کرد: «PowerDrop از تکنیکهای پیچیدهای مانند فریب، رمزگذاری و رمزگذاری برای شناسایی نشدن استفاده میکند. نام آن از ابزار Windows PowerShell که برای ایجاد اسکریپت ها استفاده می شود، و “Drop” از DROP (DRP) گرفته شده است که برای تکمیل کد استفاده می شود.
PowerDrop یک ابزار پس از بهره برداری است، به عنوان مثال. برای جمعآوری اطلاعات از شبکههای قربانیان پس از دسترسی به آنها از راههای دیگر طراحی شده است. این بدافزار از پیام های ICMP Echo Request برای شروع ارتباط با سرور Command and Control (C2) استفاده می کند.
سرور نیز به نوبه خود یک فرمان رمزگذاری شده را اجرا می کند که رمزگشایی شده و بر روی هاست در معرض خطر اجرا می شود. این سرور از یک پیام پینگ ICMP مشابه برای بازیابی نتایج استفاده می کند. فرمان PowerShell توسط سرویس WMI اجرا میشود که تلاشهای دشمن را برای ناشناخته ماندن با استفاده از تکنیکهای زنده خارج از زمین نشان میدهد.
معاون استراتژی Adlumin گفت: «در حالی که DNA هستهای تهدید خاصی نیست، توانایی آن برای پنهان کردن فعالیتهای مشکوک و ناشناخته ماندن توسط دفاع نقطه پایانی، تهدید پیچیدهتری است».
منبع: thehackernews