Скрытый троян использует PowerShell и WMI для компрометации и дальнейшего функционирования.
Эксперты кибербезопасности из компании Adlumin обнаружили новый вредоносный скрипт под названием «PowerDrop», который использует PowerShell и WMI для внедрения скрытого трояна удалённого доступа в скомпрометированные сети. Скрипт был выявлен специалистами в сети одного из подрядчиков оборонного ведомства США и, по всей видимости, принадлежит хакерской группировке, спонсируемой государством.
PowerDrop — это PowerShell-скрипт, выполняемый службой инструментария управления Windows (WMI) и закодированный с использованием Base64 для работы в качестве бэкдора или RAT.
Просматривая системные журналы, исследователи обнаружили, что вредоносный скрипт был использован с применением ранее зарегистрированных фильтров событий WMI и пользователей с именем SystemPowerManager, созданных вредоносной программой при компрометации системы с использованием инструмента командной строки «wmic.exe».
По данным экспертов Adlumin, фильтр событий WMI срабатывает при обновлении класса, что в свою очередь запускает выполнение скрипта PowerShell. Срабатывание фильтра ограничено одним разом в 120 секунд.
После активации PowerDrop отправляет зашифрованный ICMP-запрос на свой C2-сервер, сообщая об успешном заражении. Затем он выжидает 60 секунд для получения ответа, который обычно содержит команду для выполнения.
Затем скрипт расшифровывает полученный ответ от сервера в виде пакета данных с помощью жёстко заданного 128-битного AES-ключа и 128-битного вектора инициализации, после чего выполняет требуемую команду на заражённом хосте.
После выполнения команды PowerDrop отправляет результаты обратно на C2-сервер, а если они слишком большие, то разбивает их на 128-байтовые фрагменты, которые затем передаются в потоке из нескольких сообщений.
Исследователи Adlumin пришли к выводу, что использование хакерами PowerShell и WMI в сочетании с тем фактом, что PowerDrop никогда не обращается к диску, а все его коммуникации с C2-сервером тщательно зашифрованы, делает угрозу особенно скрытной.
Организациям, особенно из аэрокосмической оборонной промышленности США, необходимо сохранять бдительность в отношении этой угрозы, отслеживая выполнение PowerShell и выявляя необычные действия в WMI.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале