PowMix botneta
Kiberdrošības pētnieki ir identificējuši ļaunprātīgu kampaņu, kas vērsta pret darbaspēku Čehijas Republikā vismaz kopš 2025. gada decembra. Šīs operācijas centrā ir iepriekš nedokumentēts botnets, kas pazīstams kā PowMix. Šis apdraudējums ir izstrādāts, lai apietu tradicionālos noteikšanas mehānismus, izvairoties no pastāvīgiem savienojumiem ar savu vadības un kontroles (C2) infrastruktūru, tā vietā paļaujoties uz nejaušinātiem saziņas modeļiem.
Satura rādītājs
Slepenā komunikācija: uzlabotas C2 izvairīšanās metodes
PowMix izmanto sarežģītas metodes, lai paliktu nepamanīts tīkla vidē. Tā vietā, lai uzturētu nepārtrauktu kontaktu ar saviem C2 serveriem, tas izmanto nejaušinātus bāksignālu intervālus, kas ģenerēti, izmantojot PowerShell komandas. Šie intervāli sākotnēji svārstās no 0 līdz 261 sekundei un vēlāk palielinās līdz 1075 līdz 1450 sekundēm, efektīvi izjaucot paredzamus datplūsmas modeļus.
Turklāt botnets iegulda šifrētus sirdsdarbības datus un unikālus upuru identifikatorus tieši C2 URL ceļos, atdarinot likumīgu REST API datplūsmu. Šis dizains ļauj ļaunprogrammatūrai nemanāmi saplūst ar parasto tīkla komunikāciju. Botnets spēj arī dinamiski atjaunināt savu C2 domēnu, izmantojot savu konfigurācijas failu, nodrošinot darbības nepārtrauktību pat tad, ja mainās infrastruktūra.
Infekcijas ķēde: daudzpakāpju izvietošanas stratēģija
Uzbrukums sākas ar ļaunprātīgu ZIP arhīvu, kas parasti tiek izplatīts ar pikšķerēšanas e-pastiem. Pēc arhīva atvēršanas tiek aktivizēts rūpīgi organizēts, daudzpakāpju inficēšanas process:
- Windows saīsnes (LNK) fails sāk izpildi
- PowerShell ielādētājs izvelk un atšifrē iegulto lietderīgo slodzi
- Ļaunprogrammatūra tiek izpildīta tieši atmiņā, tādējādi samazinot diska artefaktus
Šī bezfailu izpildes pieeja ievērojami samazina atklāšanas iespējamību, izmantojot parastos drošības rīkus.
Spējas un noturības mehānismi
PowMix ir izstrādāts kā daudzpusīgs attālās piekļuves rīks, kas ļauj uzbrucējiem veikt izlūkošanu, izpildīt patvaļīgu kodu un saglabāt ilgtermiņa kontroli pār apdraudētajām sistēmām. Noturība tiek panākta, izveidojot ieplānotus uzdevumus, nodrošinot, ka ļaunprogrammatūra paliek aktīva pēc sistēmas pārstartēšanas.
Lai saglabātu darbības stabilitāti, ļaunprogrammatūra pārbauda procesu koku, lai novērstu vairāku instanču vienlaicīgu darbību vienā un tajā pašā resursdatorā.
Komandu izpildes ietvars: elastīga vadības arhitektūra
Bottīkls atbalsta divas galvenās C2 servera izdoto komandu kategorijas. Tā darbību nosaka servera atbildes formāts:
Komandas bez prefiksa “#” aktivizē patvaļīgu izpildes režīmu, liekot ļaunprogrammatūrai atšifrēt un izpildīt saņemtos vērtumus.
Īpašās komandas ietver:
#KILL: Uzsāk pašizdzēšanu un noņem visas ļaunprātīgas darbības pēdas.
#HOST: Atjaunina botneta C2 servera adresi, lai nodrošinātu nepārtrauktu saziņu.
Šī elastīgā komandu struktūra ļauj operatoriem pielāgot ļaunprogrammatūras darbību reāllaikā.
Sociālās inženierijas slānis: mānīgi dokumenti kā uzmanības novēršana
Lai palielinātu kampaņas efektivitāti, tajā tiek iekļauta sociālās inženierijas taktika. Cietušajiem tiek piedāvāti mānoši dokumenti ar atbilstības tēmām, kas radītas, lai izskatītos likumīgas. Šajos dokumentos ir atsauces uz labi pazīstamiem zīmoliem, piemēram, Edeka, un ir iekļauta informācija par kompensāciju, kā arī atsauces uz likumīgiem tiesību aktiem. Šādi elementi ir paredzēti, lai veidotu uzticību un maldinātu mērķus, jo īpaši darba meklētājus, lai tie iesaistītos ļaunprātīgā saturā.
Taktiskā pārklāšanās: saites uz ZipLine kampaņu
Analīze atklāj līdzības starp PowMix un iepriekš atklāto kampaņu, kas pazīstama kā ZipLine, kura 2025. gada augustā bija vērsta uz piegādes ķēdes kritiski svarīgām ražošanas nozarēm. Kopīgās taktikas ietver uz ZIP balstītu lietderīgās slodzes piegādi, noturību, izmantojot ieplānotos uzdevumus, un Heroku infrastruktūras izmantošanu C2 operācijām.
Neskatoties uz šīm pārklāšanām, nav novērotas papildu slodzes ārpus paša PowMix botneta. Tas rada neskaidrības par kampaņas galīgajiem mērķiem, kas liek domāt, ka nākotnē varētu parādīties turpmāka attīstība vai sekundārās pakāpes slodzes.
