新型 PowerDrop 恶意软件攻击美国航空防御组织

关键要点

• 新型 PowerDrop 恶意软件已针对美国航空防御组织发动攻击。
• 一家美国国防承包商的网络已经被发现被攻陷。
• PowerDrop 利用 Windows 管理工具和 PowerShell 创建持久的远程访问木马。
• 威胁行为者可能通过恶意软件下载、网络钓鱼邮件等手段来分发 PowerDrop。
• PowerDrop 会将命令执行结果分割成较小的数据块，以避免被检测。

近日，BleepingComputer 报道称，新的 PowerDrop恶意软件攻击波及美国的航空防御组织，甚至发现一家美国国防承包商的网络已经受到入侵。根据 Adlumin 的报告，PowerDrop 通过利用 Windows管理工具（WMI）和 在受影响的网络上促成持久远程访问木马的创建。

据分析，威胁行为者可能使用了漏洞利用、网络钓鱼邮件以及虚假的软件下载网站来传播 PowerDrop。该恶意软件的恶意脚本通过已经注册的 WMI事件过滤器和消费者得以执行。Adlumin 强调：“WMI 事件过滤器在 WMI 类被更新时触发，从而执行 PowerShell脚本。过滤器的触发被限制为每 120 秒一次，只要 WMI 类被更新过。”

此外，报告还显示，若 PowerDrop 认为命令执行结果过大，它将这些结果拆分成多个 128 字节的小块，以避免被安全防护系统检测。

数据摘要

参考链接 :

此次攻击突显了针对关键信息基础设施的网络安全威胁的重要性。在当前网络威胁形势下，各个组织应加强对网络安全的重视，防止恶意软件的侵入与数据的泄露。