Botnet PowMix
Penyelidik keselamatan siber telah mengenal pasti kempen berniat jahat yang sedang dijalankan yang menyasarkan tenaga kerja di Republik Czech sekurang-kurangnya sejak Disember 2025. Di tengah-tengah operasi ini ialah botnet yang sebelum ini tidak didokumenkan yang dikenali sebagai PowMix. Ancaman ini direka bentuk untuk mengelak mekanisme pengesanan tradisional dengan mengelakkan sambungan berterusan ke infrastruktur Perintah dan Kawalan (C2), sebaliknya bergantung pada corak komunikasi rawak.
Isi kandungan
Komunikasi Senyap: Teknik Pengelakan C2 Lanjutan
PowMix memanfaatkan kaedah canggih untuk kekal tidak dikesan dalam persekitaran rangkaian. Daripada mengekalkan hubungan berterusan dengan pelayan C2nya, ia menggunakan selang isyarat rawak yang dijana melalui arahan PowerShell. Selang ini pada mulanya berkisar antara 0 hingga 261 saat dan kemudian dilanjutkan kepada antara 1,075 dan 1,450 saat, dengan berkesan mengganggu corak trafik yang boleh diramal.
Selain itu, botnet membenamkan data degupan jantung yang disulitkan dan pengecam mangsa unik terus ke dalam laluan URL C2, meniru trafik API REST yang sah. Reka bentuk ini membolehkan perisian hasad bercampur dengan lancar dengan komunikasi rangkaian biasa. Botnet juga mampu mengemas kini domain C2nya secara dinamik melalui fail konfigurasinya, memastikan kesinambungan operasi walaupun infrastruktur berubah.
Rantaian Jangkitan: Strategi Pelaksanaan Berbilang Peringkat
Serangan ini bermula dengan arkib ZIP yang berniat jahat, biasanya diedarkan melalui e-mel pancingan data. Setelah dibuka, arkib tersebut mencetuskan proses jangkitan berbilang peringkat yang dirancang dengan teliti:
- Fail Pintasan Windows (LNK) memulakan pelaksanaan
- Pemuat PowerShell mengekstrak dan menyahsulit muatan terbenam
- Malware dilaksanakan terus dalam memori, meminimumkan artifak cakera
Pendekatan pelaksanaan tanpa fail ini mengurangkan kemungkinan pengesanan oleh alat keselamatan konvensional dengan ketara.
Keupayaan dan Mekanisme Kegigihan
PowMix direka bentuk sebagai alat akses jauh yang serba boleh, membolehkan penyerang menjalankan peninjauan, melaksanakan kod sewenang-wenangnya dan mengekalkan kawalan jangka panjang ke atas sistem yang diceroboh. Kegigihan dicapai melalui penciptaan tugasan berjadual, memastikan perisian hasad kekal aktif merentasi but semula sistem.
Untuk mengekalkan kestabilan operasi, perisian hasad akan mengesahkan pokok proses bagi mengelakkan berbilang tika daripada berjalan serentak pada hos yang sama.
Rangka Kerja Pelaksanaan Perintah: Senibina Kawalan Fleksibel
Botnet menyokong dua kategori utama arahan yang dikeluarkan daripada pelayan C2. Tingkah lakunya ditentukan oleh format respons pelayan:
Perintah tanpa awalan '#' mencetuskan mod pelaksanaan sewenang-wenangnya, mendorong perisian hasad untuk menyahsulit dan melaksanakan muatan yang diterima
Perintah khas termasuk:
#KILL: Memulakan pemadaman sendiri dan mengalih keluar semua kesan aktiviti berniat jahat
#HOST: Mengemas kini alamat pelayan C2 botnet untuk komunikasi berterusan
Struktur arahan fleksibel ini membolehkan pengendali menyesuaikan tingkah laku perisian hasad dalam masa nyata.
Lapisan Kejuruteraan Sosial: Dokumen Umpan sebagai Gangguan
Untuk meningkatkan keberkesanannya, kempen ini menggabungkan taktik kejuruteraan sosial. Mangsa dibentangkan dengan dokumen umpan yang menampilkan tema berkaitan pematuhan yang direka bentuk untuk kelihatan sah. Dokumen-dokumen ini merujuk jenama terkenal seperti Edeka dan merangkumi butiran pampasan bersama rujukan perundangan yang sah. Elemen sedemikian bertujuan untuk membina kepercayaan dan memperdaya sasaran, terutamanya pencari kerja, agar terlibat dengan kandungan berniat jahat.
Pertindihan Taktikal: Pautan ke Kempen ZipLine
Analisis mendedahkan persamaan antara PowMix dan kempen yang didedahkan sebelum ini yang dikenali sebagai ZipLine, yang menyasarkan sektor pembuatan kritikal rantaian bekalan pada Ogos 2025. Taktik yang dikongsi termasuk penghantaran muatan berasaskan ZIP, kegigihan melalui tugasan berjadual dan penggunaan infrastruktur Heroku untuk operasi C2.
Walaupun terdapat pertindihan ini, tiada muatan tambahan di luar botnet PowMix itu sendiri telah diperhatikan. Ini meninggalkan ketidakpastian mengenai objektif utama kempen, menunjukkan bahawa perkembangan selanjutnya atau muatan peringkat sekunder mungkin muncul pada masa hadapan.
