PowMix Botnet

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், செக் குடியரசில் உள்ள தொழிலாளர்களைக் குறிவைத்து, குறைந்தபட்சம் டிசம்பர் 2025 முதல் தொடர்ந்து நடைபெற்று வரும் ஒரு தீங்கிழைக்கும் பிரச்சாரத்தைக் கண்டறிந்துள்ளனர். இந்தச் செயல்பாட்டின் மையத்தில், PowMix என்று அழைக்கப்படும், இதற்கு முன் ஆவணப்படுத்தப்படாத ஒரு பாட்நெட் உள்ளது. இந்த அச்சுறுத்தலானது, தனது கட்டளை மற்றும் கட்டுப்பாட்டு (C2) உள்கட்டமைப்புடன் தொடர்ச்சியான இணைப்புகளைத் தவிர்ப்பதன் மூலம், வழக்கமான கண்டறிதல் வழிமுறைகளைத் தவிர்க்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது; அதற்குப் பதிலாக, இது சீரற்ற தகவல் தொடர்பு முறைகளைச் சார்ந்துள்ளது.

மறைமுகத் தொடர்பு: மேம்பட்ட C2 தவிர்ப்பு நுட்பங்கள்

நெட்வொர்க் சூழல்களில் கண்டறியப்படாமல் இருப்பதற்காக, PowMix அதிநவீன முறைகளைப் பயன்படுத்துகிறது. அதன் C2 சர்வர்களுடன் தொடர்ச்சியான தொடர்பைப் பேணுவதற்குப் பதிலாக, அது பவர்ஷெல் கட்டளைகள் மூலம் உருவாக்கப்படும் சீரற்ற பீக்கனிங் இடைவெளிகளைப் பயன்படுத்துகிறது. இந்த இடைவெளிகள் ஆரம்பத்தில் 0 முதல் 261 வினாடிகள் வரை இருந்து, பின்னர் 1,075 முதல் 1,450 வினாடிகள் வரை நீட்டிக்கப்பட்டு, கணிக்கக்கூடிய டிராஃபிக் முறைகளைத் திறம்பட சீர்குலைக்கின்றன.

மேலும், இந்த பாட்நெட், முறையான REST API டிராஃபிக்கைப் போலவே தோற்றமளிக்கும் வகையில், மறைகுறியாக்கப்பட்ட ஹார்ட்பீட் தரவுகளையும் பாதிக்கப்பட்டவரின் தனித்துவமான அடையாளங்காட்டிகளையும் நேரடியாக C2 URL பாதைகளில் உட்பொதிக்கிறது. இந்த வடிவமைப்பு, தீம்பொருளை சாதாரண நெட்வொர்க் தகவல்தொடர்புகளுடன் தடையின்றி ஒன்றிணையச் செய்கிறது. மேலும், இந்த பாட்நெட் அதன் உள்ளமைவு கோப்பின் மூலம் தனது C2 டொமைனை மாறும் தன்மையுடன் புதுப்பிக்கும் திறன் கொண்டது. இதன்மூலம், உள்கட்டமைப்பு மாறினாலும் செயல்பாட்டுத் தொடர்ச்சியை இது உறுதி செய்கிறது.

தொற்றுச் சங்கிலி: பல-கட்ட வரிசைப்படுத்தல் உத்தி

இந்தத் தாக்குதல், பொதுவாக ஃபிஷிங் மின்னஞ்சல்கள் மூலம் விநியோகிக்கப்படும் ஒரு தீங்கிழைக்கும் ZIP காப்பகத்துடன் தொடங்குகிறது. திறக்கப்பட்டவுடன், அந்தக் காப்பகம் கவனமாகத் திட்டமிடப்பட்ட, பல கட்டங்களைக் கொண்ட ஒரு தொற்றுச் செயல்முறையைத் தூண்டுகிறது:

• ஒரு விண்டோஸ் குறுக்குவழி (LNK) கோப்பு செயலாக்கத்தைத் தொடங்குகிறது.
• ஒரு பவர்ஷெல் லோடர் உட்பொதிக்கப்பட்ட பேலோடைப் பிரித்தெடுத்து மறைகுறியாக்கம் நீக்குகிறது.
• தீம்பொருள் நேரடியாக நினைவகத்தில் இயக்கப்படுவதால், வட்டுப் பதிவுகள் குறைக்கப்படுகின்றன.

இந்தக் கோப்பு இல்லா செயலாக்க அணுகுமுறை, வழக்கமான பாதுகாப்புக் கருவிகளால் கண்டறியப்படுவதற்கான சாத்தியக்கூறைக் கணிசமாகக் குறைக்கிறது.

திறன்கள் மற்றும் நிலைத்தன்மை வழிமுறைகள்

PowMix ஒரு பன்முகத் திறன் கொண்ட தொலைநிலை அணுகல் கருவியாக வடிவமைக்கப்பட்டுள்ளது. இது தாக்குதல் நடத்துபவர்களை உளவு பார்க்கவும், தன்னிச்சையான குறியீடுகளை இயக்கவும், மற்றும் ஊடுருவப்பட்ட கணினிகள் மீது நீண்ட காலக் கட்டுப்பாட்டைப் பராமரிக்கவும் உதவுகிறது. திட்டமிடப்பட்ட பணிகளை உருவாக்குவதன் மூலம் இதன் நிலைத்தன்மை உறுதி செய்யப்படுகிறது. இது, கணினியை மறுதொடக்கம் செய்த பிறகும் தீம்பொருள் தொடர்ந்து செயலில் இருப்பதை உறுதி செய்கிறது.

செயல்பாட்டு நிலைத்தன்மையைப் பராமரிப்பதற்காக, ஒரே ஹோஸ்டில் பல நிகழ்வுகள் ஒரே நேரத்தில் இயங்குவதைத் தடுக்கும் வகையில், அந்த மால்வேர் செயல்முறை மரத்தைச் சரிபார்க்கிறது.

கட்டளைச் செயலாக்கக் கட்டமைப்பு: நெகிழ்வான கட்டுப்பாட்டுக் கட்டமைப்பு

C2 சேவையகத்திலிருந்து வழங்கப்படும் இரண்டு முதன்மை வகைக் கட்டளைகளை இந்த பாட்நெட் ஆதரிக்கிறது. அதன் செயல்பாடு, சேவையகத்தின் பதிலின் வடிவத்தைப் பொறுத்து அமைகிறது:

'#' முன்னொட்டு இல்லாத கட்டளைகள் தன்னிச்சையான செயலாக்க முறையைத் தூண்டி, பெறப்பட்ட தரவுகளை மறைகுறியாக்கம் செய்து செயல்படுத்தும்படி தீம்பொருளைத் தூண்டுகின்றன.

சிறப்பு கட்டளைகளில் அடங்குபவை:

#KILL: தன்னைத்தானே அழித்துக்கொண்டு, தீங்கிழைக்கும் செயல்பாடுகளின் அனைத்து தடயங்களையும் நீக்குகிறது.

#HOST: தொடர்ச்சியான தகவல்தொடர்புக்காக பாட்நெட்டின் C2 சேவையக முகவரியைப் புதுப்பிக்கிறது.

இந்த நெகிழ்வான கட்டளை அமைப்பு, தீம்பொருளின் செயல்பாட்டை நிகழ்நேரத்தில் மாற்றியமைக்க இயக்குநர்களுக்கு உதவுகிறது.

சமூகப் பொறியியல் அடுக்கு: கவனத்தைத் திசைதிருப்பும் போலி ஆவணங்கள்

அதன் செயல்திறனை மேலும் அதிகரிக்க, இந்தப் பிரச்சாரம் சமூகப் பொறியியல் உத்திகளை உள்ளடக்கியுள்ளது. பாதிக்கப்பட்டவர்களுக்கு, சட்டப்பூர்வமானவை போலத் தோற்றமளிக்கும் வகையில் வடிவமைக்கப்பட்ட, இணக்கம் தொடர்பான அம்சங்களைக் கொண்ட போலியான ஆவணங்கள் வழங்கப்படுகின்றன. இந்த ஆவணங்கள் ஈடெகா போன்ற நன்கு அறியப்பட்ட வர்த்தக முத்திரைகளைக் குறிப்பிடுவதோடு, சட்டப்பூர்வமான சட்டரீதியான குறிப்புகளுடன் இழப்பீட்டு விவரங்களையும் உள்ளடக்கியுள்ளன. இத்தகைய கூறுகள், இலக்குகளை, குறிப்பாக வேலை தேடுபவர்களை, நம்பிக்கையை வளர்த்து, தீங்கிழைக்கும் உள்ளடக்கத்தில் ஈடுபடுமாறு ஏமாற்றுவதை நோக்கமாகக் கொண்டுள்ளன.

தந்திரோபாய ஒன்றிணைப்பு: ஜிப்லைன் பிரச்சாரத்துடனான இணைப்புகள்

ஆகஸ்ட் 2025-ல் விநியோகச் சங்கிலிக்கு முக்கியமான உற்பத்தித் துறைகளை இலக்காகக் கொண்டு நடத்தப்பட்ட, முன்னர் அறிவிக்கப்பட்ட ZipLine என்ற பிரச்சாரத்திற்கும் PowMix-க்கும் இடையே உள்ள ஒற்றுமைகளை பகுப்பாய்வு வெளிப்படுத்துகிறது. ZIP அடிப்படையிலான பேலோட் விநியோகம், திட்டமிடப்பட்ட பணிகள் மூலம் நிலைத்தன்மையை உறுதி செய்தல், மற்றும் C2 செயல்பாடுகளுக்கு Heroku உள்கட்டமைப்பைப் பயன்படுத்துதல் ஆகியவை இவ்விரண்டு உத்திகளிலும் பொதுவாகக் காணப்படும் உத்திகளாகும்.

இந்த ஒன்றுடன் ஒன்று பொருந்தும் தன்மைகள் இருந்தபோதிலும், PowMix பாட்நெட்டைத் தவிர வேறு கூடுதல் பேலோடுகள் எதுவும் காணப்படவில்லை. இது இந்த நடவடிக்கையின் இறுதி நோக்கங்கள் குறித்து நிச்சயமற்ற தன்மையை ஏற்படுத்துகிறது, மேலும் எதிர்காலத்தில் கூடுதல் மேம்பாடுகளோ அல்லது இரண்டாம் கட்ட பேலோடுகளோ வெளிப்படக்கூடும் என்பதையும் சுட்டிக்காட்டுகிறது.