Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

PowerDrop: новая киберугроза, нацеленная на аэрокосмическую оборонную промышленность США

08/06/23

rocket-Saturn-V-Cape-Canaveral-Air-Force-July-26-1971

Эксперты кибербезопасности из компании Adlumin обнаружили новый вредоносный скрипт под названием «PowerDrop», который использует PowerShell и WMI для внедрения скрытого трояна удалённого доступа в скомпрометированные сети. Скрипт был выявлен специалистами в сети одного из подрядчиков оборонного ведомства США и, по всей видимости, принадлежит хакерской группировке, спонсируемой государством.

PowerDrop — это PowerShell-скрипт, выполняемый службой инструментария управления Windows (WMI) и закодированный с использованием Base64 для работы в качестве бэкдора или RAT, поясняет Securitylab.

Просматривая системные журналы, исследователи обнаружили, что вредоносный скрипт был использован с применением ранее зарегистрированных фильтров событий WMI и пользователей с именем SystemPowerManager, созданных вредоносной программой при компрометации системы с использованием инструмента командной строки «wmic.exe».

По данным экспертов Adlumin, фильтр событий WMI срабатывает при обновлении класса, что в свою очередь запускает выполнение скрипта PowerShell. Срабатывание фильтра ограничено одним разом в 120 секунд.

После активации PowerDrop отправляет зашифрованный ICMP-запрос на свой C2-сервер, сообщая об успешном заражении. Затем он выжидает 60 секунд для получения ответа, который обычно содержит команду для выполнения.

Затем скрипт расшифровывает полученный ответ от сервера в виде пакета данных с помощью жёстко заданного 128-битного AES-ключа и 128-битного вектора инициализации, после чего выполняет требуемую команду на заражённом хосте.

После выполнения команды PowerDrop отправляет результаты обратно на C2-сервер, а если они слишком большие, то разбивает их на 128-байтовые фрагменты, которые затем передаются в потоке из нескольких сообщений.

Исследователи Adlumin пришли к выводу, что использование хакерами PowerShell и WMI в сочетании с тем фактом, что PowerDrop никогда не обращается к диску, а все его коммуникации с C2-сервером тщательно зашифрованы, делает угрозу особенно скрытной.

Организациям, особенно из аэрокосмической оборонной промышленности США, необходимо сохранять бдительность в отношении этой угрозы, отслеживая выполнение PowerShell и выявляя необычные действия в WMI.

Темы:СШАПреступленияКибератакивоенное оборудованиеAdlumin
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...