Adlumin descubrió recientemente un nuevo malware llamado PowerDrop, diseñado para apuntar a la industria aeroespacial en los EE. UU. Este malware, basado en PowerShell, se ha atribuido a un actor de amenazas no identificado.
Emplea tácticas sofisticadas como el engaño, la codificación y el cifrado para evitar la detección. Los investigadores se encontraron con este malware en mayo cuando se descubrió dentro de un contratista de defensa aeroespacial nacional no revelado.
Análisis de malware
Los investigadores han determinado que el malware consiste en una combinación novedosa de PowerShell y Windows Management Instrumentation (WMI) como una RAT con persistencia.
El malware funciona mediante el envío de mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP), que actúa como desencadenante de su funcionalidad C2.
Además, se utilizan técnicas de ping ICMP similares para fines de filtración de datos.
En resumen, el análisis sugiere que el objetivo principal del malware es ejecutar comandos remotos en redes específicas después de infiltrarse, ejecutar y mantener la persistencia dentro de los servidores.
por qué esto importa
El ataque reciente destaca el avance de las técnicas de vivir de la tierra empleadas por los actores de amenazas.
Si bien el uso de PowerShell para el acceso remoto y la persistencia basada en WMI de los scripts de PowerShell, así como la activación y tunelización de ICMP, no son conceptos nuevos, este malware presenta una combinación única que no se había observado anteriormente.
Ocupa una posición entre las amenazas básicas y comerciales y las tácticas sofisticadas que suelen emplear los grupos APT.
Aunque la estructura fundamental de la amenaza en sí misma no es excepcionalmente avanzada, su capacidad para camuflar acciones sospechosas y eludir las defensas de los endpoints sugiere la participación de actores de amenazas más competentes.
Últimas amenazas de PowerShell
La pandilla de ransomware Vice Society desarrolló un sofisticado script de PowerShell para automatizar el robo de datos de redes comprometidas. El script emplea herramientas de vivir fuera de la tierra para evitar la detección por parte del software de seguridad, lo que dificulta que los defensores frustren sus ataques.
En abril, se descubrió que los actores de amenazas usaban archivos autoextraíbles (SFX) de WinRAR protegidos con contraseña para instalar puertas traseras persistentes en los sistemas de destino sin ser detectados. El uso de archivos SFX personalizados les permite ejecutar PowerShell y scripts maliciosos sin activar el agente de seguridad.
Artículos relacionados
Ransomware Clop ataca cadena de suministro: BBC y British Airways entre los afectados.
9 de junio de 2023Una vulnerabilidad de días 0 en MOVEit Transfer, un popular software de transferencias de archivos utilizado entre diferentes corporaciones a nivel global, fue explotado por la banda de ransomware Clop. Entre los afectados figuran medios de comunicación, aerolíneas, farmacias, gobiernos locales y universidades.
