Botnet PowMix
Raziskovalci kibernetske varnosti so odkrili zlonamerno kampanjo, ki je usmerjena proti delovni sili v Češki republiki vsaj od decembra 2025. V središču te operacije je prej nedokumentiran botnet, znan kot PowMix. Ta grožnja je zasnovana tako, da se izogne tradicionalnim mehanizmom zaznavanja, tako da se izogiba trajnim povezavam z infrastrukturo poveljevanja in nadzora (C2), namesto tega pa se zanaša na naključne komunikacijske vzorce.
Kazalo
Prikrita komunikacija: Napredne tehnike izogibanja C2
PowMix uporablja sofisticirane metode, da ostane neopažen v omrežnih okoljih. Namesto vzdrževanja stalnega stika s svojimi strežniki C2 uporablja naključne intervale označevanja, ki jih generirajo ukazi PowerShell. Ti intervali se sprva gibljejo od 0 do 261 sekund, kasneje pa se podaljšajo na med 1075 in 1450 sekund, kar učinkovito moti predvidljive vzorce prometa.
Poleg tega botnet vgrajuje šifrirane podatke o srčnem utripu in edinstvene identifikatorje žrtev neposredno v poti URL-jev C2, s čimer posnema legitimen promet REST API. Ta zasnova omogoča zlonamerni programski opremi, da se neopazno zlije z običajno omrežno komunikacijo. Botnet je sposoben tudi dinamično posodabljati svojo domeno C2 prek konfiguracijske datoteke, kar zagotavlja neprekinjeno delovanje tudi v primeru sprememb infrastrukture.
Veriga okužbe: večstopenjska strategija uvajanja
Napad se začne z zlonamerno ZIP arhivo, ki se običajno distribuira prek lažnih e-poštnih sporočil. Ko je arhiv odprt, sproži skrbno orkestriran, večstopenjski proces okužbe:
- Izvajanje sproži datoteka bližnjice sistema Windows (LNK)
- Nalagalnik PowerShell izvleče in dešifrira vdelani koristni tovor
- Zlonamerna programska oprema se izvaja neposredno v pomnilniku, kar zmanjšuje artefakte na disku.
Ta pristop izvajanja brez datotek znatno zmanjša verjetnost odkritja s strani običajnih varnostnih orodij.
Zmogljivosti in mehanizmi vztrajnosti
PowMix je zasnovan kot vsestransko orodje za oddaljeni dostop, ki napadalcem omogoča izvidovanje, izvajanje poljubne kode in dolgoročni nadzor nad ogroženimi sistemi. Vztrajnost se doseže z ustvarjanjem načrtovanih opravil, kar zagotavlja, da zlonamerna programska oprema ostane aktivna tudi po ponovnih zagonih sistema.
Za ohranjanje stabilnosti delovanja zlonamerna programska oprema preveri drevo procesov, da prepreči hkratno izvajanje več primerkov na istem gostitelju.
Okvir za izvajanje ukazov: Prilagodljiva arhitektura krmiljenja
Botnet podpira dve glavni kategoriji ukazov, ki jih izda strežnik C2. Njegovo vedenje je določeno z obliko odgovora strežnika:
Ukazi brez predpone '#' sprožijo poljubni način izvajanja, kar povzroči, da zlonamerna programska oprema dešifrira in izvede prejete koristne podatke.
Posebni ukazi vključujejo:
#KILL: Začne samodejni izbris in odstrani vse sledi zlonamerne dejavnosti
#HOST: Posodobi naslov strežnika C2 botneta za nadaljnjo komunikacijo
Ta prilagodljiva struktura ukazov omogoča operaterjem, da v realnem času prilagodijo vedenje zlonamerne programske opreme.
Plast socialnega inženiringa: Dokumenti za vabljenje kot moteča dejavnik
Za večjo učinkovitost kampanja vključuje taktike socialnega inženiringa. Žrtvam se predstavijo lažni dokumenti s temami, povezanimi s skladnostjo s predpisi, ki so zasnovani tako, da so videti legitimni. Ti dokumenti se sklicujejo na znane blagovne znamke, kot je Edeka, in vključujejo podrobnosti o nadomestilih poleg legitimnih zakonodajnih referenc. Namen takšnih elementov je vzpostaviti zaupanje in zavajati tarče, zlasti iskalce zaposlitve, da bi se vključile v zlonamerno vsebino.
Taktično prekrivanje: Povezave do kampanje ZipLine
Analiza razkriva podobnosti med kampanjo PowMix in že razkrito kampanjo, znano kot ZipLine, ki je bila avgusta 2025 usmerjena v ključne proizvodne sektorje dobavne verige. Skupne taktike vključujejo dostavo koristnega tovora na podlagi ZIP, vztrajnost prek načrtovanih nalog in uporabo infrastrukture Heroku za operacije C2.
Kljub tem prekrivanjem niso opazili nobenih dodatnih koristnih tovorov poleg samega botneta PowMix. To pušča negotovost glede končnih ciljev kampanje, kar kaže na to, da se lahko v prihodnosti pojavijo nadaljnji razvoj ali koristni tovori sekundarne stopnje.
