新型 PowerDrop 恶意软件攻击美国航空防御组织

关键要点

新型 PowerDrop 恶意软件已针对美国航空防御组织发动攻击。一家美国国防承包商的网络已经被发现被攻陷。PowerDrop 利用 Windows 管理工具和 PowerShell 创建持久的远程访问木马。威胁行为者可能通过恶意软件下载、网络钓鱼邮件等手段来分发 PowerDrop。PowerDrop 会将命令执行结果分割成较小的数据块，以避免被检测。

近日，BleepingComputer 报道称，新的 PowerDrop 恶意软件攻击波及美国的航空防御组织，甚至发现一家美国国防承包商的网络已经受到入侵。根据 Adlumin 的报告，PowerDrop 通过利用 Windows 管理工具WMI和 PowerShell 在受影响的网络上促成持久远程访问木马的创建。

据分析，威胁行为者可能使用了漏洞利用、网络钓鱼邮件以及虚假的软件下载网站来传播 PowerDrop。该恶意软件的恶意脚本通过已经注册的 WMI 事件过滤器和消费者得以执行。Adlumin 强调：“WMI 事件过滤器在 WMI 类被更新时触发，从而执行 PowerShell 脚本。过滤器的触发被限制为每 120 秒一次，只要 WMI 类被更新过。”

此外，报告还显示，若 PowerDrop 认为命令执行结果过大，它将这些结果拆分成多个 128 字节的小块，以避免被安全防护系统检测。

免费加速器苹果

数据摘要

类型细节攻击对象美国航空防御组织攻击方法WMI amp PowerShell利用威胁传播方式漏洞利用、网络钓鱼、虚假软件下载命令执行结果处理拆分成128字节小块

参考链接 BleepingComputer 关于 PowerDrop 的详细报道

此次攻击突显了针对关键信息基础设施的网络安全威胁的重要性。在当前网络威胁形势下，各个组织应加强对网络安全的重视，防止恶意软件的侵入与数据的泄露。