新型 PowerDrop 恶意软件攻击美国航空防御组织
关键要点
新型 PowerDrop 恶意软件已针对美国航空防御组织发动攻击。一家美国国防承包商的网络已经被发现被攻陷。PowerDrop 利用 Windows 管理工具和 PowerShell 创建持久的远程访问木马。威胁行为者可能通过恶意软件下载、网络钓鱼邮件等手段来分发 PowerDrop。PowerDrop 会将命令执行结果分割成较小的数据块,以避免被检测。近日,BleepingComputer 报道称,新的 PowerDrop 恶意软件攻击波及美国的航空防御组织,甚至发现一家美国国防承包商的网络已经受到入侵。根据 Adlumin 的报告,PowerDrop 通过利用 Windows 管理工具WMI和 PowerShell 在受影响的网络上促成持久远程访问木马的创建。
据分析,威胁行为者可能使用了漏洞利用、网络钓鱼邮件以及虚假的软件下载网站来传播 PowerDrop。该恶意软件的恶意脚本通过已经注册的 WMI 事件过滤器和消费者得以执行。Adlumin 强调:“WMI 事件过滤器在 WMI 类被更新时触发,从而执行 PowerShell 脚本。过滤器的触发被限制为每 120 秒一次,只要 WMI 类被更新过。”
此外,报告还显示,若 PowerDrop 认为命令执行结果过大,它将这些结果拆分成多个 128 字节的小块,以避免被安全防护系统检测。
数据摘要
类型细节攻击对象美国航空防御组织攻击方法WMI amp PowerShell利用威胁传播方式漏洞利用、网络钓鱼、虚假软件下载命令执行结果处理拆分成128字节小块参考链接 BleepingComputer 关于 PowerDrop 的详细报道
此次攻击突显了针对关键信息基础设施的网络安全威胁的重要性。在当前网络威胁形势下,各个组织应加强对网络安全的重视,防止恶意软件的侵入与数据的泄露。
官网下载clash
