I ricercatori dell’Adlumin Threat Research hanno scoperto un nuovo script PowerShell malevolo, soprannominato PowerDrop, impiegato in attacchi rivolti a organizzazioni nel settore aerospaziale statunitense.
L’impiego di una funzionalità integrata di Windows
Secondo l’analisi condotta, lo script PowerDrop, scoperto lo scorso mese nella rete di un appaltatore nazionale della difesa aerospaziale americana e distribuito probabilmente tramite exploit, phishing o download contraffatti, utilizzerebbe tecniche avanzate per eludere il rilevamento e verrebbe eseguito dal servizio WMI (Windows Management Instrumentation) e codificato con Base64.
Esaminando i registri di sistema, infatti i ricercatori avrebbero scoperto che lo script dannoso sarebbe eseguito utilizzando filtri di eventi WMI precedentemente registrati e consumer denominati “SystemPowerManager”, creati dallo stesso malware durante la compromissione del sistema.
WMI una funzionalità integrata di Windows verrebbe quindi abusata per attivare query di comando PowerShell.
Attivazione dell’infezione
Lo script PowerDrop una volta attivato, invierebbe un echo ICMP (Internet Control Message Protocol) hardcoded al suo server C2, segnalando che è attiva una nuova infezione.
Una volta che il beacon è stato inviato al server C2, il malware attenderebbe per 60 secondi una risposta dal server C2, in genere un payload crittografato e riempito con dati statici, contenente un comando da eseguire.
Solo dopo il malware decrittograferebbe il payload inviato, utilizzando una chiave AES a 128 bit hardcoded e un vettore di inizializzazione a 128 bit, per eseguire il comando.
I risultati di questa esecuzione verrebbero infine inviati al server C2, suddividendoli in blocchi di 128 byte trasmessi in un flusso di più messaggi.
L’importanza di un team di sicurezza
Le organizzazioni, in particolare quelle del settore della difesa aerospaziale, devono rimanere vigili per questa minaccia, monitorando l’esecuzione di PowerShell e cercando attività WMI insolite.
Al momento Adlumin non ha ancora attribuito il malware a uno specifico attore della minaccia, ma i ricercatori ritengono che potrebbe trattarsi di una entità nation-state dato il livello di sofisticazione del malware e la natura degli obiettivi.
“PowerDrop mostra chiaramente che la combinazione di vecchie tattiche con nuove tecniche si rivela una potente combinazione nell’era odierna“, ha affermato Will Ledesma, direttore del Cyber Security Operation Center di Adlumin e conclude “Sottolinea l’importanza di avere team di sicurezza informatica dedicati 24 ore su 24, 7 giorni su 7 all’interno di qualsiasi panorama operativo“.