PowMix Botnet
Siber güvenlik araştırmacıları, en az Aralık 2025'ten beri Çek Cumhuriyeti'ndeki iş gücünü hedef alan devam eden kötü amaçlı bir kampanya tespit etti. Bu operasyonun merkezinde, daha önce belgelenmemiş PowMix adlı bir botnet bulunuyor. Bu tehdit, komuta ve kontrol (C2) altyapısına kalıcı bağlantılar kurmaktan kaçınarak, bunun yerine rastgele iletişim modellerine dayanarak geleneksel tespit mekanizmalarından kurtulacak şekilde tasarlanmıştır.
İçindekiler
Gizli İletişim: Gelişmiş Komuta ve Kontrol Kaçınma Teknikleri
PowMix, ağ ortamlarında tespit edilmeden kalmak için gelişmiş yöntemler kullanır. C2 sunucularıyla sürekli iletişim halinde kalmak yerine, PowerShell komutları aracılığıyla oluşturulan rastgele sinyal gönderme aralıklarını kullanır. Bu aralıklar başlangıçta 0 ile 261 saniye arasında değişir ve daha sonra 1.075 ile 1.450 saniye arasına kadar uzanarak öngörülebilir trafik modellerini etkili bir şekilde bozar.
Ek olarak, botnet şifrelenmiş kalp atışı verilerini ve benzersiz kurban tanımlayıcılarını doğrudan C2 URL yollarına yerleştirerek meşru REST API trafiğini taklit eder. Bu tasarım, kötü amaçlı yazılımın normal ağ iletişimleriyle sorunsuz bir şekilde bütünleşmesini sağlar. Botnet ayrıca yapılandırma dosyası aracılığıyla C2 alanını dinamik olarak güncelleyerek altyapı değişse bile operasyonel sürekliliği sağlar.
Enfeksiyon Zinciri: Çok Aşamalı Dağıtım Stratejisi
Saldırı, genellikle kimlik avı e-postaları aracılığıyla dağıtılan kötü amaçlı bir ZIP arşiviyle başlar. Arşiv açıldığında, dikkatlice planlanmış, çok aşamalı bir enfeksiyon süreci tetiklenir:
- Bir Windows Kısayol (LNK) dosyası yürütmeyi başlatır.
- Bir PowerShell yükleyicisi, gömülü zararlı yazılımı çıkarır ve şifresini çözer.
- Kötü amaçlı yazılım doğrudan bellekte çalıştırılır, bu da diskte oluşabilecek bozulmaları en aza indirir.
Dosyasız yürütme yaklaşımı, geleneksel güvenlik araçları tarafından tespit edilme olasılığını önemli ölçüde azaltır.
Yetenekler ve Kalıcılık Mekanizmaları
PowMix, saldırganların keşif yapmasına, rastgele kod çalıştırmasına ve ele geçirilen sistemler üzerinde uzun vadeli kontrol sağlamasına olanak tanıyan çok yönlü bir uzaktan erişim aracı olarak tasarlanmıştır. Kalıcılık, zamanlanmış görevler oluşturularak sağlanır ve kötü amaçlı yazılımın sistem yeniden başlatmalarında bile aktif kalması garanti edilir.
Operasyonel istikrarı korumak için, kötü amaçlı yazılım, aynı sunucuda birden fazla örneğin aynı anda çalışmasını önlemek amacıyla işlem ağacını doğrular.
Komut Yürütme Çerçevesi: Esnek Kontrol Mimarisi
Botnet, C2 sunucusundan verilen iki temel komut kategorisini destekler. Davranışı, sunucunun yanıtının biçimine göre belirlenir:
'#' öneki olmayan komutlar, rastgele yürütme modunu tetikler ve kötü amaçlı yazılımın alınan yükleri şifresini çözüp yürütmesini sağlar.
Özel komutlar şunlardır:
#KILL: Kendi kendini silme işlemini başlatır ve kötü amaçlı faaliyetin tüm izlerini siler.
#HOST: Botnet'in iletişimin devamı için C2 sunucu adresini günceller.
Bu esnek komut yapısı, operatörlerin kötü amaçlı yazılımın davranışını gerçek zamanlı olarak uyarlamasına olanak tanır.
Sosyal Mühendislik Katmanı: Dikkat Dağıtıcı Amaçlı Tuzak Belgeler
Kampanyanın etkinliğini artırmak için sosyal mühendislik taktikleri kullanılıyor. Mağdurlara, meşru görünmek üzere tasarlanmış, uyumlulukla ilgili temalar içeren yanıltıcı belgeler sunuluyor. Bu belgelerde Edeka gibi tanınmış markalara atıfta bulunuluyor ve meşru yasal referansların yanı sıra tazminat detayları da yer alıyor. Bu unsurların amacı, özellikle iş arayanlar olmak üzere hedef kitleye güven aşılamak ve onları kötü amaçlı içerikle etkileşime geçmeye ikna etmektir.
Taktiksel Örtüşme: ZipLine Kampanyasına Bağlantılar
Analizler, PowMix ile Ağustos 2025'te tedarik zinciri açısından kritik öneme sahip üretim sektörlerini hedef alan ve daha önce açıklanan ZipLine adlı kampanya arasında benzerlikler olduğunu ortaya koyuyor. Ortak taktikler arasında ZIP tabanlı veri iletimi, planlanmış görevler aracılığıyla kalıcılık ve C2 operasyonları için Heroku altyapısının kullanımı yer alıyor.
Bu örtüşmelere rağmen, PowMix botnet'inin ötesinde ek bir zararlı yazılım gözlemlenmemiştir. Bu durum, kampanyanın nihai hedefleri konusunda belirsizlik yaratmakta ve gelecekte daha fazla gelişme veya ikincil aşama zararlı yazılımların ortaya çıkabileceğini düşündürmektedir.
