Le logiciel malveillant PowerDrop utilise PowerShell

powershell programming

Un acteur de la menace précédemment non identifié a été observé en train de se concentrer sur l'industrie aérospatiale américaine, en utilisant un logiciel malveillant nouvellement développé connu sous le nom de PowerDrop, qui fonctionne via PowerShell.

Selon Adlumin, la société de cybersécurité qui a fait la découverte, PowerDrop utilise des méthodes sophistiquées pour éviter la détection, y compris des tactiques telles que la tromperie, l'encodage et le cryptage. Ce logiciel malveillant a été découvert dans les systèmes d'un sous-traitant de la défense aérospatiale nationale non divulgué en mai 2023.

Mode de fonctionnement PowerDrop

Le nom "PowerDrop" est dérivé de la fusion de "Power" de l'outil de script Windows PowerShell et de "Drop" de la chaîne DROP (DRP) trouvée dans le code pour servir de remplissage.

PowerDrop sert d'outil de post-exploitation, permettant la collecte d'informations à partir de réseaux ciblés après avoir initialement obtenu un accès non autorisé par d'autres moyens.

Pour établir la communication avec un serveur de commande et de contrôle (C2), le logiciel malveillant utilise des messages de demande d'écho ICMP (Internet Control Message Protocol) comme balises. En réponse, le serveur envoie une commande cryptée qui est ensuite décodée et exécutée sur l'hôte compromis. De plus, un message ping ICMP similaire est utilisé pour transmettre les résultats de l'instruction à l'attaquant.

De plus, l'exécution de la commande PowerShell s'effectue à l'aide du service Windows Management Instrumentation (WMI), indiquant l'intention de l'adversaire d'exploiter les fonctionnalités légitimes du système afin d'éviter la détection, une stratégie communément appelée "vivre hors de la terre". tactique.

Comment les acteurs de la menace peuvent-ils infiltrer les systèmes d'entreprise ?

Les acteurs de la menace peuvent employer diverses tactiques pour infiltrer les systèmes d'entreprise, dont certaines incluent :

Attaques d'hameçonnage : il s'agit d'envoyer des e-mails ou des messages trompeurs à des employés, souvent déguisés en entités ou individus légitimes, dans le but de les inciter à révéler des informations sensibles ou à cliquer sur des liens malveillants qui autorisent un accès non autorisé.

Logiciels malveillants : les auteurs de menaces peuvent utiliser différents types de logiciels malveillants, tels que des virus, des chevaux de Troie ou des logiciels de rançon, pour exploiter les vulnérabilités des systèmes ou inciter les utilisateurs à installer des logiciels malveillants. Cela peut se produire par le biais de pièces jointes infectées, de sites Web compromis ou de téléchargements malveillants.

Ingénierie sociale : cette technique repose sur la manipulation d'individus par le biais de tactiques psychologiques pour obtenir un accès non autorisé. Cela peut impliquer de se faire passer pour un personnel de confiance, d'exploiter des relations personnelles ou d'exploiter des informations accessibles au public pour gagner la confiance de la cible et extraire des informations sensibles.

Menaces internes : Parfois, des individus au sein d'une organisation présentent intentionnellement ou par inadvertance un risque pour la sécurité. Les employés mécontents, ceux motivés par le gain financier ou les personnes dont les informations d'identification sont compromises peuvent abuser de leurs privilèges d'accès pour infiltrer les systèmes ou divulguer des informations sensibles.

Exploitation de systèmes faibles ou mal configurés : les pirates analysent activement les réseaux à la recherche de vulnérabilités, telles que des logiciels non corrigés, des serveurs mal configurés ou des mots de passe faibles. En identifiant et en exploitant ces faiblesses, ils peuvent obtenir un accès non autorisé aux systèmes de l'entreprise.

Pour se défendre contre ces méthodes d'infiltration, les organisations doivent mettre en œuvre une stratégie de cybersécurité complète qui comprend la formation des employés, des mises à jour et des correctifs logiciels réguliers, des contrôles d'accès renforcés, la surveillance du réseau, le chiffrement et des plans de réponse aux incidents.

Par Zaib
June 7, 2023
Malware
Français
June 7, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.