293/66 (IT) ประจำวันพฤหัสบดีที่ 8 มิถุนายน 2566
มีการสังเกตพบผู้ก่อเหตุภัยคุกคามที่ไม่รู้จักก่อนหน้านี้ กำลังกำหนดเป้าหมายไปยังภาคการป้องกันการบินและอวกาศของสหรัฐฯ ด้วยมัลแวร์ PowerShell ตัวใหม่ที่มีชื่อว่า PowerDrop
นักวิจัยจาก Adlumin Threat Research ค้นพบสคริปต์ PowerShell ที่เป็นอันตรายตัวใหม่ ซึ่งมีชื่อว่า PowerDrop ที่ถูกใช้ในการโจมตีที่มุ่งเป้าไปที่องค์กรในภาคการบินและอวกาศของสหรัฐฯ โดย มัลแวร์ที่ใช้ PowerShell ใช้เทคนิคขั้นสูงในการหลบเลี่ยงการตรวจจับ รวมถึงมีการหลอกลวง และทำการเข้ารหัส ซึ่งนักวิจัยยังไม่ได้ยืนยันว่ามัลแวร์เป็นของกลุ่มภัยคุกคามกลุ่มใด แต่นักวิจัยเชื่อว่าอาจเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ เนื่องจากมัลแวร์มีระดับความซับซ้อน และลักษณะของเป้าหมายที่โจมตีเป็นหน่วยงานเฉพาะ
นักวิจัยค้นพบ PowerDrop ในเครือข่ายของ Contractor ป้องกันการบินและอวกาศภายในประเทศในเดือนพฤษภาคม 2023 โดยชื่อมัลแวร์นี้ ตั้งมาจากเครื่องมือ Windows PowerShell และ ‘Drop’ จากสตริง DROP (DRP) ซึ่งมัลแวร์ถูกใช้เพื่อรันคำสั่งจากระยะไกลบนระบบที่ติดไวรัสและรวบรวมข้อมูลจากเครือข่ายเป้าหมาย สคริปต์ที่เป็นอันตรายจะส่งข้อความคำขอ echo ของ Internet Control Message Protocol (ICMP) ไปยัง C2 ซึ่งจะตอบกลับด้วย ICMP ping ที่คล้ายกันสำหรับการกรองข้อมูล มัลแวร์อาศัยการคงอยู่ของสคริปต์ PowerShell ที่ใช้ WMI รหัสที่เป็นอันตรายจะถูกดำเนินการโดยบริการ WMI โดยใช้ตัวกรองเหตุการณ์ WMI และผู้บริโภคที่ลงทะเบียนไว้ก่อนหน้านี้ ทั้งนี้ นักวิจัยจาก Adlumin ได้แนะนำให้องค์กรในอุตสาหกรรมการป้องกันการบินและอวกาศ ควรเฝ้าระวัง PowerDrop และขอให้ทำการสแกนช่องโหว่ที่แกนกลางของระบบ Windows เพื่อค้นหากิจกรรมการส่ง Ping ที่ผิดปกติจากเครือข่ายไปยังภายนอก
แหล่งข่าว ( https://securityaffairs.com/147168/apt/powerdrop-targets-aerospace.html )
