ហេគឃ័រមិនស្គាល់អត្តសញ្ញាណត្រូវគេមើលឃើញថា កំពុងតែប្រើមេរោគ PowerShell-based ឈ្មោះ PowerDrop វាយប្រហារលើឧស្សាហកម្មអវកាសអាមេរិក។យោងតាមក្រុមហ៊ុន Adlumin រកឃើញថាមេរោគត្រូវដាក់បញ្ចូលទៅក្នុងកុងត្រាការពារអវកាសក្នុងស្រុកមិនមានឈ្មោះមួយ។ មេរោគ PowerDrop ប្រើបច្ចេកទេសឈានមុខដើម្បីគេចពីការរកឃើញដូចជា ការបោកបញ្ឆោត, ការអុិនកូដ (encoding) និងការអុីនគ្រីប។
ឈ្មោះមេរោគត្រូវទាញចេញពីធូល Windows PowerShell ដែលប្រើសម្រាប់បង្កើតស្គ្រីប និងទម្លាក់ “Drop” ចេញពី DROP (DRP) string ដែលត្រូវប្រើនៅក្នុងកូដសម្រាប់ដំណើរការ។ PowerDrop ក៏ជាធូលកេងចំណេញ ដែលមានន័យថាវាត្រូវបង្កើតឡើងសម្រាប់ប្រមូលព័ត៌មានពីបណ្តាញជនរងគ្រោះបន្ទាប់ពីចាប់ផ្តើមដំណើរការតាមមធ្យោបាយផ្សេង។
មេរោគ malware ដំណើរការជា Internet Control Message Protocol (ICMP) echo ស្នើសុំសារដូចជាគេហទំព័រ (beacons) ដើម្បីចាប់ផ្តើមទំនាក់ទំនងជាមួយនឹង C2 server។ ម៉ាសុីនមេក៏ជាផ្នែកមួយនៃដំណើរការ វាឆ្លើយតបជាមួយនឹងពាក្យបញ្ជាអុីនគ្រីបដែលត្រូវឌីកូដ (decoded) និងដំណើរការលើម៉ាសុីន (host) ដែលសម្របសម្រួល។ ស្រដៀងនឹង ICMP ping message ត្រូវប្រើសម្រាប់ចាប់យកលទ្ធផលពីម៉ាសុីនជនរងគ្រោះតាមការណែនាំ។
ជាងនេះ PowerShell command ត្រូវប្រតិបត្តិដោយមធ្យោបាយនៃសេវា Windows Management Instrumentation (WMI) ដែលបង្ហាញពីការប៉ុនប៉ងរបស់ហេគឃ័រក្នុងការប្រើយុទ្ធសាស្រ្តមេរោគគ្មានឯកសារ (living off the land) ដើម្បីគេចពីការរកឃើញ។ អនុប្រធានយុទ្ធសាស្រ្តនៅក្រុមហ៊ុន Adlumin ថ្លែងថា ខណៈដែលមូលដ្ឋាននៃការគំរាមកំហែងមិនស្មុគស្មាញ ប៉ុន្តែអាចគេចពីការរកឃើញ ដោយសារតែហេគឃ័រប្រើការការពារ endpoint ទំនើប៕
