airplane-422275_1280.jpg

Novo malware tem como alvo a indústria aeroespacial dos EUA

Da Redação
06/06/2023

Um novo script de malware PowerShell chamado PowerDrop descoberto pode ser usado em ataques direcionados à indústria de defesa aeroespacial dos EUA. O malwre foi descoberto pela Adlumin, que no mês passado encontrou uma amostra do malware na rede de uma empresa de defesa nos EUA.

A empresa, que fornece uma plataforma de segurança e serviços gerenciados de detecção e resposta, relata que o PowerDrop usa PowerShell e o WMI (Windows Management Instrumentation) para criar um trojan de acesso remoto (RAT) persistente nas redes violadas.

As táticas de operação do malware estão entre o malware “pronto para uso” e as técnicas avançadas de ameaça persistente avançada (APT), enquanto o tempo e os alvos sugerem que o agressor provavelmente é patrocinado por Estados-nação.

A Adlumin identificou o PowerDrop usando a detecção de aprendizado de máquina que examina o conteúdo da execução do script do PowerShell; no entanto, a cadeia de infecção ou o comprometimento inicial são desconhecidos.

Os analistas presumem que os invasores podem ter implantado o script usando uma exploração, e-mails de phishing para alvos ou sites de download de software falsificados. O PowerDrop é um script PowerShell executado pelo serviço Windows Management Instrumentation e usando o método de codificação de dados Base64 para funcionar como backdoor ou RAT.

Ao examinar os logs do sistema, os pesquisadores descobriram que o script malicioso foi executado usando filtros de eventos WMI previamente registrados e consumidores chamados ‘SystemPowerManager’, criados pelo malware após o comprometimento do sistema usando a ferramenta de linha de comando ‘wmic.exe’. 

Veja isso
Bombardier comunica incidente e ransomware publica dados
Hacker chinês espionava Boeing e Lockheed

O WMI é um recurso interno do Windows que permite aos usuários consultar computadores locais ou remotos para várias informações. Nesse caso, está sendo abusado para acionar consultas de comando do PowerShell para atualizações em uma classe de monitoramento de desempenho. 

A Adlumin conclui que PowerShell e o WMI, combinados com o fato de que o PowerDrop nunca toca o disco como um arquivo de script “.ps1”, o torna particularmente furtivo. Suas comunicações são criptografadas no padrão AES e o protocolo ICMP usado para sua sinalização de beacon é comum em comunicações de rede e o intervalo de 120 segundos entre o tráfego de rede malicioso reduz a probabilidade de detecção.

As organizações, principalmente as do setor de defesa aeroespacial, precisam permanecer vigilantes quanto a essa ameaça, monitorando a execução do PowerShell e procurando atividades WMI incomuns.

Compartilhar: