Windows PowerShell - оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
Геополитика сыграла важную роль в распространении вируса.
За разработкой бэкдора стоит неизвестная, но крайне подготовленная группировка.
Фреймворк Alchimist на китайском языке выпускает крысу-насекомое для автоматизированных атак.
Исследователи раскрыли подробности эксплуатации эксплойта и его влияние на сервер.
Группировка использует разные программы-вымогатели для отвлечения внимания, а не для получения финансовой выгоды.
Под удар злоумышленников попал поставщик деталей для истребителя F-35 Lightning II.
Инструмент может быть тесно связан с APT-группировкой Lazarus.
Для заражения пользователю достаточно посмотреть на вредоносную ссылку.
Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Операторы вредоносного ПО монетизируют клики пользователей.
Новая техника заражения делает Шмеля незаметным и универсальным инструментом хакеров.
Группа использует свои собственные инструменты для сбора конфиденциальных данных.
Данный тип атак становится всё популярнее в киберпреступной среде.
В этой вредоносной кампании Mars Stealer ведет себя намного более скрытно.
Эта функция позволяет злоумышленникам скрытно красть данные из систем организаций и развертывать вредоносные программы.
Теперь кампании лучше обходят средства обнаружения и маскируются под популярные программы
Специалисты удаляют PowerShell из-за частых атак киберпреступников
От других перехватчиков ChromeLoader отличается способностью сохранять постоянство, масштабами атак и использованием PowerShell.
Киберпреступник использовал поддельный PoC для запуска Cobalt-Strike Beacon
Для компрометации серверов используется утилита sqlps.exe
Проблема исправлена с выпуском версий PowerShell 7.0.6 и 7.1.3.
Для противодействия DeathStalker рекомендуется организациям по возможности ограничить или отключить возможность использования скриптовых языков
Хотя группировка была обнаружена только сейчас, свой бизнес она ведет уже почти десять лет.
В 2018 году только в 43% от всех кибератак использовались локально установленные файлы.
Проблема возникает лишь в одном определенном случае.
Самый интересный способ связан с возможностью Hancitor обфусцировать вредоносные команды PowerShell.
Вредоносное ПО FAREIT использует PowerShell наряду с макросами.
PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру.
Это уже третья попытка реализации SSH-протокола в PowerShell.
Исследователи отмечают, что использование Windows PowerShell является непривычным для червей.