これまで正体不明のサイバー脅威攻撃者は、新たに発見されたPowerDropと呼ばれる PowerShell ベースのマルウェアを展開することで、米国の航空宇宙産業に注意を向けています。この高度なマルウェアは、さまざまな欺瞞戦術、エンコード技術、および暗号化を利用して検出を回避します。 「PowerDrop」という名前は、Windows PowerShell ツールへの依存と、パディングのためにコードに組み込まれた「DROP」 (DRP) 文字列に由来しています。
PowerDrop は、別の方法で不正アクセスを受けた後、侵害されたネットワークから機密情報を収集するように設計されたエクスプロイト後ツールです。コマンド アンド コントロール (C2) サーバーとの通信を確立するために、マルウェアはインターネット コントロール メッセージ プロトコル (ICMP) エコー要求メッセージをビーコンとして使用します。その後、C2 サーバーは、侵害されたホスト上でデコードされ、実行される暗号化されたコマンドで応答します。同様に、ICMP ping メッセージは、これらの命令の結果を漏洩することを目的としています。
特に、PowerDrop は Windows Management Instrumentation (WMI) サービスを利用して PowerShell コマンドを実行し、攻撃者が検出を回避するために「常駐」テクニックを使用していることを示しています。このマルウェアの中核的な性質はそれほど高度ではないかもしれませんが、疑わしいアクティビティを難読化し、エンドポイントの防御を回避するその能力は、より高度な脅威アクターの関与を示しています。
目次
ステルスマルウェア攻撃の手口を明らかにする
最近発見されたマルウェアは、高度な機械学習検出システムを通じてセキュリティ研究者によって明らかにされました。これは、PowerShell スクリプトの実行内容を精査する強力なテクノロジーであり、このとらえどころのない脅威の特定を可能にします。しかし、この画期的な進歩にもかかわらず、PowerDrop の正確な感染チェーンと最初の侵害は依然として謎に包まれたままです。
アナリストは、攻撃者が PowerDrop スクリプトを展開するために使用する潜在的な方法を推測しています。これらには、脆弱性の悪用、被害者をターゲットとするフィッシングメールの利用、さらにはなりすましのソフトウェア ダウンロード サイトという欺瞞的な戦術に頼ることも含まれます。 PowerDrop がシステムに侵入した正確な経路はまだ判明していません。秘密の性質を強化するために、スクリプトは Base64 を使用してエンコードされ、バックドアまたはリモート アクセス トロイの木馬 (RAT)として機能できるようになります。この高度な技術により、PowerDrop は検出を回避し、侵害されたシステム内で永続性を維持することができます。
システム ログを詳しく調べると、PowerDrop の手口に関する重要な洞察が明らかになります。分析の結果、悪意のあるスクリプトは、以前に登録された WMI イベント フィルタと、「SystemPowerManager」という別名を持つコンシューマを効果的に利用していたことが判明しました。マルウェア自体は、「wmic.exe」コマンドライン ツールを使用してシステムを侵害する際に、この巧妙に偽装されたメカニズムを作成しました。
PowerDrop のユニークな特性が明らかになることで、現代のサイバー脅威の巧妙化が明らかになります。 PowerDrop は、検出を回避し、侵害されたシステム内で秘密裏に動作する能力を備えており、デジタル環境における悪意のある攻撃者の絶え間ない進化と創意工夫を実証しています。
これまで正体不明だったサイバー脅威攻撃者は、新たに発見された PowerDrop と呼ばれる PowerShell ベースのマルウェアを展開することで、米国の航空宇宙産業に注意を向けています。この高度なマルウェアは、さまざまな欺瞞戦術、エンコード技術、および暗号化を利用して検出を回避します。 「PowerDrop」という名前は、Windows PowerShell ツールへの依存と、パディングのためにコードに組み込まれた「DROP」 (DRP) 文字列に由来しています。
PowerDrop は、別の方法で不正アクセスを取得した後、侵害されたネットワークから機密情報を収集するように設計されたエクスプロイト後ツールです。コマンド アンド コントロール (C2) サーバーとの通信を確立するために、マルウェアはインターネット コントロール メッセージ プロトコル (ICMP) エコー要求メッセージをビーコンとして使用します。その後、C2 サーバーは、侵害されたホスト上でデコードされ、実行される暗号化されたコマンドで応答します。同様に、ICMP ping メッセージは、これらの命令の結果を漏洩することを目的としています。
特に、PowerDrop は Windows Management Instrumentation (WMI) サービスを利用して PowerShell コマンドを実行し、攻撃者が検出を回避するために「常駐」テクニックを使用していることを示しています。このマルウェアの中核的な性質はそれほど高度ではないかもしれませんが、疑わしいアクティビティを難読化し、エンドポイントの防御を回避するその能力は、より高度な脅威アクターの関与を示しています。
ステルスマルウェア攻撃の手口を明らかにする
最近発見されたマルウェアは、高度な機械学習検出システムを通じてセキュリティ研究者によって明らかにされました。これは、PowerShell スクリプトの実行内容を精査する強力なテクノロジーであり、このとらえどころのない脅威の特定を可能にします。しかし、この画期的な進歩にもかかわらず、PowerDrop の正確な感染チェーンと最初の侵害は依然として謎に包まれたままです。
アナリストは、攻撃者が PowerDrop スクリプトを展開するために使用する潜在的な方法を推測しています。これらには、脆弱性の悪用、被害者をターゲットとするフィッシングメールの利用、さらにはなりすましのソフトウェア ダウンロード サイトという欺瞞的な戦術に頼ることも含まれます。 PowerDrop がシステムに侵入した正確な経路はまだ判明していません。秘密の性質を強化するために、スクリプトは Base64 を使用してエンコードされ、バックドアまたはリモート アクセス トロイの木馬 (RAT) として機能できるようになります。この高度な技術により、PowerDrop は検出を回避し、侵害されたシステム内で永続性を維持することができます。
システム ログを詳しく調べると、PowerDrop の手口に関する重要な洞察が明らかになります。分析の結果、悪意のあるスクリプトは、以前に登録された WMI イベント フィルタと、「SystemPowerManager」という別名を持つコンシューマを効果的に利用していたことが判明しました。マルウェア自体は、「wmic.exe」コマンドライン ツールを使用してシステムを侵害する際に、この巧妙に偽装されたメカニズムを作成しました。
PowerDrop のユニークな特性が明らかになることで、現代のサイバー脅威の巧妙化が明らかになります。 PowerDrop は、検出を回避し、侵害されたシステム内で秘密裏に動作する能力を備えており、デジタル環境における悪意のある攻撃者の絶え間ない進化と創意工夫を実証しています。
攻撃にさらされる米国の航空宇宙産業: 新しい PowerDrop マルウェアの導入スクリーンショット
