„PowMix“ botnetas
Kibernetinio saugumo tyrėjai nustatė, kad Čekijos Respublikoje mažiausiai nuo 2025 m. gruodžio mėn. vyksta kenkėjiška kampanija, nukreipta prieš darbo jėgą. Šios operacijos centre – anksčiau nedokumentuotas botnetas, žinomas kaip „PowMix“. Ši grėsmė sukurta taip, kad apeitų tradicinius aptikimo mechanizmus, vengiant nuolatinių ryšių su savo komandų ir kontrolės (C2) infrastruktūra ir pasikliaujant atsitiktiniais komunikacijos modeliais.
Turinys
Slaptas bendravimas: pažangios C2 vengimo technikos
„PowMix“ naudoja sudėtingus metodus, kad liktų nepastebėtas tinklo aplinkoje. Užuot nuolat palaikęs ryšį su savo C2 serveriais, jis naudoja atsitiktinius švyturių intervalus, generuojamus naudojant „PowerShell“ komandas. Šie intervalai iš pradžių svyruoja nuo 0 iki 261 sekundės, o vėliau pailgėja iki 1075–1450 sekundžių, efektyviai sutrikdydami nuspėjamus srauto modelius.
Be to, botnetas į C2 URL kelius įterpia užšifruotus širdies ritmo duomenis ir unikalius aukos identifikatorius, imituodamas teisėtą REST API srautą. Ši konstrukcija leidžia kenkėjiškai programai sklandžiai susilieti su įprastu tinklo ryšiu. Botnetas taip pat gali dinamiškai atnaujinti savo C2 domeną per savo konfigūracijos failą, užtikrindamas veiklos tęstinumą net ir pasikeitus infrastruktūrai.
Infekcijos grandinė: daugiapakopė diegimo strategija
Ataka prasideda nuo kenkėjiško ZIP archyvo, paprastai platinamo sukčiavimo el. laiškuose. Atidarius archyvą, pradedamas kruopščiai suplanuotas, kelių pakopų užkrėtimo procesas:
- „Windows“ sparčiųjų klavišų (LNK) failas inicijuoja vykdymą
- „PowerShell“ įkroviklis išskleidžia ir iššifruoja įterptąją naudingąją apkrovą.
- Kenkėjiška programa vykdoma tiesiai atmintyje, taip sumažinant disko artefaktus
Šis vykdymo be failų metodas žymiai sumažina aptikimo tikimybę įprastomis saugumo priemonėmis.
Pajėgumai ir išlikimo mechanizmai
„PowMix“ sukurtas kaip universalus nuotolinės prieigos įrankis, leidžiantis užpuolikams atlikti žvalgybą, vykdyti savavališką kodą ir ilgalaikėje perspektyvoje kontroliuoti pažeistas sistemas. Kontrolės palaikymas pasiekiamas sukuriant suplanuotas užduotis, užtikrinant, kad kenkėjiška programa išliktų aktyvi ir po sistemos perkrovimo.
Siekdama palaikyti veikimo stabilumą, kenkėjiška programa tikrina procesų medį, kad tame pačiame kompiuteryje vienu metu negalėtų veikti keli procesai.
Komandų vykdymo sistema: lanksti valdymo architektūra
Botnetas palaiko dvi pagrindines C2 serverio siunčiamų komandų kategorijas. Jo elgesį lemia serverio atsakymo formatas:
Komandos be „#“ prefikso suaktyvina savavališką vykdymo režimą, todėl kenkėjiška programa iššifruoja ir vykdo gautus naudinguosius duomenis.
Specialios komandos apima:
#KILL: Inicijuoja savęs ištrynimą ir pašalina visus kenkėjiškos veiklos pėdsakus
#HOST: Atnaujina botneto C2 serverio adresą, kad būtų galima tęsti ryšį.
Ši lanksti komandų struktūra leidžia operatoriams pritaikyti kenkėjiškos programos elgesį realiuoju laiku.
Socialinės inžinerijos sluoksnis: masalo dokumentai kaip dėmesio atitraukimas
Siekiant didesnio efektyvumo, kampanijoje naudojamos socialinės inžinerijos taktikos. Aukos gauna gudrybės dokumentuose su atitikties temomis, kurios atrodo teisėtos. Šiuose dokumentuose nurodomi žinomi prekių ženklai, tokie kaip „Edeka“, ir pateikiama informacija apie atlyginimus kartu su teisėtais teisės aktais. Tokie elementai skirti pasitikėjimui didinti ir apgauti taikinius, ypač darbo ieškančius asmenis, kad jie įsitrauktų į kenkėjišką turinį.
Taktinis sutapimas: nuorodos į „ZipLine“ kampaniją
Analizė atskleidžia „PowMix“ ir anksčiau atskleistos kampanijos, žinomos kaip „ZipLine“, kuri 2025 m. rugpjūtį buvo nukreipta į tiekimo grandinės požiūriu svarbius gamybos sektorius, panašumus. Bendros taktikos apima ZIP pagrindu veikiantį naudingojo krovinio pristatymą, duomenų perdavimą atliekant suplanuotas užduotis ir „Heroku“ infrastruktūros naudojimą C2 operacijoms.
Nepaisant šių sutapimų, jokių papildomų naudingųjų srovių, be paties „PowMix“ botneto, nepastebėta. Tai palieka neaiškumų dėl galutinių kampanijos tikslų ir rodo, kad ateityje gali atsirasti tolesnių pokyčių ar antrinio etapo naudingųjų srovių.
