PowMix बॉटनेट
साइबर सुरक्षा शोधकर्ताओं ने चेक गणराज्य में कम से कम दिसंबर 2025 से चल रहे एक दुर्भावनापूर्ण अभियान की पहचान की है, जो वहां के कर्मचारियों को निशाना बना रहा है। इस अभियान के केंद्र में पॉमिक्स नामक एक अज्ञात बॉटनेट है। यह खतरा अपने कमांड-एंड-कंट्रोल (C2) बुनियादी ढांचे से लगातार जुड़े रहने से बचकर, यादृच्छिक संचार पैटर्न पर निर्भर रहकर पारंपरिक पहचान तंत्रों से बचने के लिए बनाया गया है।
विषयसूची
गुप्त संचार: उन्नत सी2 बचाव तकनीकें
PowMix नेटवर्क वातावरण में बिना पता चले रहने के लिए परिष्कृत तरीकों का उपयोग करता है। अपने C2 सर्वरों के साथ निरंतर संपर्क बनाए रखने के बजाय, यह PowerShell कमांड के माध्यम से उत्पन्न यादृच्छिक बीकनिंग अंतराल का उपयोग करता है। ये अंतराल शुरू में 0 से 261 सेकंड तक होते हैं और बाद में 1,075 से 1,450 सेकंड तक बढ़ जाते हैं, जिससे अनुमानित ट्रैफ़िक पैटर्न प्रभावी रूप से बाधित हो जाता है।
इसके अतिरिक्त, बॉटनेट एन्क्रिप्टेड हार्टबीट डेटा और विशिष्ट पीड़ित पहचानकर्ताओं को सीधे C2 URL पथों में एम्बेड करता है, जिससे वैध REST API ट्रैफ़िक की नकल होती है। यह डिज़ाइन मैलवेयर को सामान्य नेटवर्क संचार के साथ सहजता से घुलमिल जाने में सक्षम बनाता है। बॉटनेट अपनी कॉन्फ़िगरेशन फ़ाइल के माध्यम से अपने C2 डोमेन को गतिशील रूप से अपडेट करने में भी सक्षम है, जिससे बुनियादी ढांचे में बदलाव होने पर भी परिचालन निरंतरता सुनिश्चित होती है।
संक्रमण श्रृंखला: बहु-स्तरीय तैनाती रणनीति
यह हमला एक दुर्भावनापूर्ण ज़िप फ़ाइल से शुरू होता है, जिसे आमतौर पर फ़िशिंग ईमेल के माध्यम से वितरित किया जाता है। एक बार खोलने के बाद, यह फ़ाइल एक सुनियोजित, बहु-चरणीय संक्रमण प्रक्रिया को सक्रिय कर देती है:
- एक विंडोज शॉर्टकट (LNK) फ़ाइल निष्पादन शुरू करती है।
- पॉवरशेल लोडर एम्बेडेड पेलोड को निकालता और डिक्रिप्ट करता है।
- यह मैलवेयर सीधे मेमोरी में निष्पादित होता है, जिससे डिस्क पर अनावश्यक डेटा का उपयोग कम से कम होता है।
फाइललेस एक्जीक्यूशन का यह तरीका पारंपरिक सुरक्षा उपकरणों द्वारा पकड़े जाने की संभावना को काफी कम कर देता है।
क्षमताएं और निरंतरता तंत्र
PowMix एक बहुमुखी रिमोट एक्सेस टूल के रूप में डिज़ाइन किया गया है, जो हमलावरों को जासूसी करने, मनमाना कोड निष्पादित करने और प्रभावित सिस्टमों पर दीर्घकालिक नियंत्रण बनाए रखने में सक्षम बनाता है। निर्धारित कार्यों के निर्माण के माध्यम से निरंतरता सुनिश्चित की जाती है, जिससे यह सुनिश्चित होता है कि मैलवेयर सिस्टम रीबूट होने पर भी सक्रिय रहे।
परिचालन स्थिरता बनाए रखने के लिए, मैलवेयर प्रक्रिया ट्री को सत्यापित करता है ताकि एक ही होस्ट पर एक साथ कई इंस्टेंस चलने से रोका जा सके।
कमांड निष्पादन ढांचा: लचीली नियंत्रण वास्तुकला
यह बॉटनेट C2 सर्वर से जारी किए गए दो मुख्य प्रकार के आदेशों का समर्थन करता है। इसका व्यवहार सर्वर की प्रतिक्रिया के प्रारूप द्वारा निर्धारित होता है:
'#' उपसर्ग के बिना कमांड मनमानी निष्पादन मोड को ट्रिगर करते हैं, जिससे मैलवेयर प्राप्त पेलोड को डिक्रिप्ट और निष्पादित करने के लिए प्रेरित होता है।
विशेष आदेशों में शामिल हैं:
#KILL: स्व-विलोपन की प्रक्रिया शुरू करता है और दुर्भावनापूर्ण गतिविधि के सभी निशान मिटा देता है।
#HOST: निरंतर संचार के लिए बॉटनेट के C2 सर्वर पते को अपडेट करता है
यह लचीली कमांड संरचना ऑपरेटरों को मैलवेयर के व्यवहार को वास्तविक समय में अनुकूलित करने की अनुमति देती है।
सामाजिक अभियांत्रिकी की परत: ध्यान भटकाने के लिए भ्रामक दस्तावेज़ों का प्रयोग
अपनी प्रभावशीलता बढ़ाने के लिए, अभियान में सोशल इंजीनियरिंग की रणनीति का इस्तेमाल किया जाता है। पीड़ितों को ऐसे फर्जी दस्तावेज़ दिखाए जाते हैं जिनमें अनुपालन संबंधी विषय होते हैं और जो वैध प्रतीत होते हैं। इन दस्तावेज़ों में एडेका जैसे प्रसिद्ध ब्रांडों का उल्लेख होता है और इनमें वैध कानूनी संदर्भों के साथ-साथ मुआवजे का विवरण भी शामिल होता है। इन तत्वों का उद्देश्य विश्वास पैदा करना और लक्षित व्यक्तियों, विशेष रूप से नौकरी चाहने वालों को, दुर्भावनापूर्ण सामग्री से जुड़ने के लिए गुमराह करना है।
सामरिक ओवरलैप: ज़िपलाइन अभियान से संबंध
विश्लेषण से पॉवमिक्स और ज़िपलाइन नामक एक पूर्व में घोषित अभियान के बीच समानताएं सामने आती हैं, जिसने अगस्त 2025 में आपूर्ति श्रृंखला के लिए महत्वपूर्ण विनिर्माण क्षेत्रों को लक्षित किया था। साझा रणनीतियों में ज़िप-आधारित पेलोड वितरण, निर्धारित कार्यों के माध्यम से निरंतरता और सी2 संचालन के लिए हेरोकू बुनियादी ढांचे का उपयोग शामिल है।
इन समानताओं के बावजूद, PowMix बॉटनेट के अलावा कोई अतिरिक्त पेलोड नहीं देखा गया है। इससे अभियान के अंतिम उद्देश्यों के बारे में अनिश्चितता बनी हुई है, जिससे यह संकेत मिलता है कि भविष्य में और अधिक विकास या द्वितीयक चरण के पेलोड सामने आ सकते हैं।
