Powershell
Powershell в новостной повестке, календарь упоминаний и aналитика в реальном времени.
Календарь упоминаний:
Злоумышленники используют PowerShell для запуска фреймворка Ravage в атаках на РФ
Суть: Киберпреступная группа применяет утилиту PowerShell для активации фреймворка Ravage после запуска вредоносного плагина в Microsoft Excel.
Событие: С января 2026 года зафиксированы атаки на российские организации, где PowerShell используется для выполнения команд и управления устройствами в локальной сети.
Эффект: Скрипты PowerShell позволяют злоумышленникам выгружать файлы, делать скриншоты и взаимодействовать с сетью через протоколы SMB или WMI.
Риск: Переход к использованию легальных инструментов требует ужесточения контроля за запуском скриптов PowerShell в корпоративных сетях.
PowerShell используется для удаленного управления вредоносной нагрузкой в атаке на Hugging Face
Суть: Злоумышленники внедрили в скрипт установки ИИ-модели код, который передает команды на выполнение через PowerShell на компьютерах под управлением Windows. Это позволяет атакующим динамически менять вредоносную нагрузку удаленно без изменения самого репозитория.
Риск: Использование PowerShell в данной схеме создает угрозу выполнения произвольных команд и загрузки дополнительных пакетных файлов с доменов, контролируемых хакерами.
PowerShell как инструмент обхода защиты и кражи данных
Вредоносное ПО DeepLoad использует PowerShell для проведения безфайловых атак, убеждая жертв выполнять команды, которые запускают компрометацию системы. Поскольку стандартные антивирусы не обнаруживают угрозы, не связанные с файловыми сигнатурами, злоумышленники получают возможность закрепиться в системе и установить связь с серверами атакующих через легитимные инструменты. Это позволяет им обходить программные фильтры и красть учетные данные, особенно в корпоративном секторе.
Распространение вредоносного кода через команды PowerShell
В ходе атаки злоумышленники используют команду PowerShell для запуска вредоносного файла с расширением .proj с помощью утилиты MSBuild.exe. Это позволяет им загрузить и запустить шпионское ПО DCRat, которое обеспечивает удалённый доступ, запись нажатий клавиш и загрузку дополнительных вредоносных нагрузок. Для выполнения команды пользователю инструктируют открыть диалоговое окно «Выполнить» и ввести вредоносную команду, что делает PowerShell ключевым инструментом в сценарии атаки. Утилита MSBuild.exe используется для маскировки вредоносной активности, а PowerShell обеспечивает выполнение необходимых действий в системе.
Распространение вредоносного ПО через PowerShell
PowerShell используется злоумышленниками для выполнения команд, расшифровки скрытых нагрузок и запуска вредоносного кода без активного срабатывания систем безопасности. Атакующие объединяют его с другими встроенными инструментами Windows, такими как MSBuild, чтобы минимизировать вероятность обнаружения. В некоторых случаях PowerShell применяется для запуска скриптов, встроенных в изображения или архивы, что позволяет скрытно установить удалённый доступ и красть данные.
Powershell имеет 5 записей событий в нашей базе.