บอทเน็ต PowMix
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงแคมเปญโจมตีอย่างต่อเนื่องที่มุ่งเป้าไปที่แรงงานในสาธารณรัฐเช็กมาตั้งแต่เดือนธันวาคม 2025 เป็นอย่างน้อย โดยมีบอตเน็ตที่ไม่เคยมีการบันทึกมาก่อนชื่อ PowMix เป็นหัวใจสำคัญของปฏิบัติการนี้ ภัยคุกคามนี้ได้รับการออกแบบมาเพื่อหลีกเลี่ยงกลไกการตรวจจับแบบดั้งเดิมโดยการหลีกเลี่ยงการเชื่อมต่ออย่างต่อเนื่องกับโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) แต่จะใช้รูปแบบการสื่อสารแบบสุ่มแทน
สารบัญ
การสื่อสารแบบซ่อนเร้น: เทคนิคการหลบเลี่ยง C2 ขั้นสูง
PowMix ใช้เทคนิคที่ซับซ้อนเพื่อซ่อนตัวไม่ให้ถูกตรวจพบภายในสภาพแวดล้อมเครือข่าย แทนที่จะติดต่อกับเซิร์ฟเวอร์ C2 อย่างต่อเนื่อง มันใช้ช่วงเวลาการส่งสัญญาณแบบสุ่มที่สร้างขึ้นผ่านคำสั่ง PowerShell ช่วงเวลาเหล่านี้เริ่มต้นที่ 0 ถึง 261 วินาที และต่อมาขยายเป็นระหว่าง 1,075 ถึง 1,450 วินาที ซึ่งเป็นการรบกวนรูปแบบการรับส่งข้อมูลที่คาดเดาได้อย่างมีประสิทธิภาพ
นอกจากนี้ บอทเน็ตยังฝังข้อมูลชีพจรที่เข้ารหัสและตัวระบุเหยื่อที่ไม่ซ้ำกันลงในเส้นทาง URL ของ C2 โดยตรง เลียนแบบการรับส่งข้อมูล REST API ที่ถูกต้องตามกฎหมาย การออกแบบนี้ช่วยให้มัลแวร์สามารถผสมผสานเข้ากับการสื่อสารเครือข่ายปกติได้อย่างราบรื่น บอทเน็ตยังสามารถอัปเดตโดเมน C2 แบบไดนามิกผ่านไฟล์การกำหนดค่า ทำให้มั่นใจได้ถึงความต่อเนื่องในการปฏิบัติงานแม้ว่าโครงสร้างพื้นฐานจะเปลี่ยนแปลงไปก็ตาม
ห่วงโซ่การติดเชื้อ: กลยุทธ์การใช้งานหลายขั้นตอน
การโจมตีเริ่มต้นด้วยไฟล์ ZIP ที่เป็นอันตราย ซึ่งมักถูกส่งผ่านอีเมลฟิชชิ่ง เมื่อเปิดไฟล์แล้ว ไฟล์ดังกล่าวจะกระตุ้นกระบวนการติดเชื้อหลายขั้นตอนที่วางแผนไว้อย่างรอบคอบ:
- ไฟล์ทางลัด Windows (LNK) จะเริ่มต้นการทำงาน
- โปรแกรมโหลด PowerShell จะแยกและถอดรหัสข้อมูลที่ฝังอยู่ภายใน
- มัลแวร์จะทำงานโดยตรงในหน่วยความจำ ทำให้ลดปริมาณข้อมูลที่ต้องบันทึกบนดิสก์ให้น้อยที่สุด
วิธีการเรียกใช้งานแบบไม่ใช้ไฟล์นี้ ช่วยลดโอกาสในการตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้อย่างมาก
ความสามารถและกลไกการคงอยู่
PowMix ถูกออกแบบมาให้เป็นเครื่องมือเข้าถึงระยะไกลอเนกประสงค์ ช่วยให้ผู้โจมตีสามารถทำการสอดแนม เรียกใช้โค้ดตามอำเภอใจ และควบคุมระบบที่ถูกบุกรุกได้ในระยะยาว การคงอยู่ของมัลแวร์ทำได้โดยการสร้างงานที่กำหนดเวลาไว้ ทำให้มั่นใจได้ว่ามัลแวร์จะยังคงทำงานอยู่แม้ระบบจะรีบูตแล้วก็ตาม
เพื่อรักษาเสถียรภาพในการทำงาน มัลแวร์จะตรวจสอบโครงสร้างกระบวนการเพื่อป้องกันไม่ให้มีหลายอินสแตนซ์ทำงานพร้อมกันบนโฮสต์เดียวกัน
กรอบการทำงานสำหรับการดำเนินการคำสั่ง: สถาปัตยกรรมควบคุมที่ยืดหยุ่น
บอทเน็ตนี้รองรับคำสั่งหลักสองประเภทที่ส่งมาจากเซิร์ฟเวอร์ C2 พฤติกรรมของบอทเน็ตจะถูกกำหนดโดยรูปแบบการตอบสนองของเซิร์ฟเวอร์:
คำสั่งที่ไม่มีเครื่องหมาย '#' นำหน้าจะกระตุ้นโหมดการทำงานแบบสุ่ม ทำให้มัลแวร์ถอดรหัสและเรียกใช้ข้อมูลที่ได้รับ
คำสั่งพิเศษได้แก่:
#KILL: เริ่มกระบวนการลบตัวเองและลบร่องรอยกิจกรรมที่เป็นอันตรายทั้งหมด
#HOST: อัปเดตที่อยู่เซิร์ฟเวอร์ C2 ของบอทเน็ตเพื่อการสื่อสารอย่างต่อเนื่อง
โครงสร้างคำสั่งที่ยืดหยุ่นนี้ช่วยให้ผู้ปฏิบัติงานสามารถปรับเปลี่ยนพฤติกรรมของมัลแวร์ได้แบบเรียลไทม์
ชั้นกลอุบายทางสังคม: เอกสารล่อลวงเพื่อเบี่ยงเบนความสนใจ
เพื่อเพิ่มประสิทธิภาพให้ดียิ่งขึ้น แคมเปญนี้จึงใช้กลยุทธ์ทางวิศวกรรมสังคม โดยเหยื่อจะได้รับเอกสารล่อลวงที่มีเนื้อหาเกี่ยวกับการปฏิบัติตามกฎระเบียบ ซึ่งออกแบบมาให้ดูเหมือนถูกต้องตามกฎหมาย เอกสารเหล่านี้อ้างอิงถึงแบรนด์ที่มีชื่อเสียง เช่น Edeka และมีรายละเอียดเกี่ยวกับการชดเชยค่าเสียหาย พร้อมกับการอ้างอิงถึงกฎหมายที่ถูกต้อง องค์ประกอบเหล่านี้มีจุดประสงค์เพื่อสร้างความไว้วางใจและหลอกลวงเป้าหมาย โดยเฉพาะผู้หางาน ให้เข้าไปมีส่วนร่วมกับเนื้อหาที่เป็นอันตราย
การทับซ้อนเชิงกลยุทธ์: ลิงก์ไปยังแคมเปญ ZipLine
จากการวิเคราะห์พบว่า PowMix มีลักษณะคล้ายคลึงกับแคมเปญที่เคยเปิดเผยมาก่อนหน้านี้ชื่อ ZipLine ซึ่งมุ่งเป้าไปที่ภาคการผลิตที่สำคัญต่อห่วงโซ่อุปทานในเดือนสิงหาคม 2025 กลยุทธ์ที่ใช้ร่วมกัน ได้แก่ การส่งข้อมูลโดยใช้ไฟล์ ZIP การรักษาความต่อเนื่องผ่านงานที่กำหนดเวลาไว้ และการใช้โครงสร้างพื้นฐานของ Heroku สำหรับการปฏิบัติการควบคุมและสั่งการ (C2)
ถึงแม้จะมีส่วนที่ทับซ้อนกันอยู่บ้าง แต่ก็ไม่พบเพย์โหลดเพิ่มเติมใดๆ นอกเหนือจากบอทเน็ต PowMix เอง ทำให้เกิดความไม่แน่นอนเกี่ยวกับเป้าหมายสูงสุดของแคมเปญนี้ ซึ่งบ่งชี้ว่าอาจมีการพัฒนาเพิ่มเติมหรือเพย์โหลดขั้นที่สองเกิดขึ้นในอนาคต
