Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mạng botnet Mạng Botnet PowMix

Mạng Botnet PowMix

Đến năm Mezo năm Mạng botnet
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch độc hại đang diễn ra nhắm vào lực lượng lao động tại Cộng hòa Séc kể từ ít nhất tháng 12 năm 2025. Trọng tâm của chiến dịch này là một mạng botnet chưa từng được ghi nhận trước đây có tên là PowMix. Mối đe dọa này được thiết kế để né tránh các cơ chế phát hiện truyền thống bằng cách tránh các kết nối liên tục với cơ sở hạ tầng Chỉ huy và Kiểm soát (C2), thay vào đó dựa vào các mô hình giao tiếp ngẫu nhiên.

Giao tiếp bí mật: Các kỹ thuật né tránh C2 nâng cao

PowMix sử dụng các phương pháp tinh vi để hoạt động mà không bị phát hiện trong môi trường mạng. Thay vì duy trì liên lạc liên tục với máy chủ C2, nó sử dụng các khoảng thời gian phát tín hiệu ngẫu nhiên được tạo ra thông qua các lệnh PowerShell. Ban đầu, các khoảng thời gian này dao động từ 0 đến 261 giây và sau đó mở rộng đến từ 1.075 đến 1.450 giây, làm gián đoạn hiệu quả các mô hình lưu lượng truy cập có thể dự đoán được.

Ngoài ra, mạng botnet nhúng dữ liệu nhịp tim được mã hóa và mã định danh nạn nhân duy nhất trực tiếp vào đường dẫn URL của máy chủ điều khiển (C2), bắt chước lưu lượng truy cập API REST hợp pháp. Thiết kế này cho phép phần mềm độc hại hòa nhập liền mạch với các giao tiếp mạng thông thường. Mạng botnet cũng có khả năng cập nhật động tên miền C2 của nó thông qua tệp cấu hình, đảm bảo tính liên tục hoạt động ngay cả khi cơ sở hạ tầng thay đổi.

Chuỗi lây nhiễm: Chiến lược triển khai nhiều giai đoạn

Cuộc tấn công bắt đầu bằng một tệp tin nén ZIP độc hại, thường được phát tán qua email lừa đảo. Sau khi được mở, tệp tin này sẽ kích hoạt một quy trình lây nhiễm nhiều giai đoạn được dàn dựng cẩn thận:

  • Tệp phím tắt Windows (LNK) khởi động quá trình thực thi.
  • Trình tải PowerShell trích xuất và giải mã dữ liệu được nhúng bên trong.
  • Phần mềm độc hại được thực thi trực tiếp trong bộ nhớ, giảm thiểu tối đa các tệp lưu trữ trên ổ đĩa.

Phương pháp thực thi không cần tệp này giúp giảm đáng kể khả năng bị phát hiện bởi các công cụ bảo mật thông thường.

Khả năng và cơ chế duy trì

PowMix được thiết kế như một công cụ truy cập từ xa đa năng, cho phép kẻ tấn công tiến hành trinh sát, thực thi mã tùy ý và duy trì quyền kiểm soát lâu dài đối với các hệ thống bị xâm nhập. Khả năng duy trì hoạt động được đảm bảo thông qua việc tạo các tác vụ theo lịch trình, đảm bảo phần mềm độc hại vẫn hoạt động ngay cả khi hệ thống khởi động lại.

Để duy trì sự ổn định hoạt động, phần mềm độc hại sẽ xác minh cây tiến trình để ngăn chặn nhiều phiên bản chạy đồng thời trên cùng một máy chủ.

Khung thực thi lệnh: Kiến trúc điều khiển linh hoạt

Mạng botnet hỗ trợ hai loại lệnh chính được phát ra từ máy chủ C2. Hành vi của nó được xác định bởi định dạng phản hồi của máy chủ:

Các lệnh không có tiền tố '#' sẽ kích hoạt chế độ thực thi tùy ý, khiến phần mềm độc hại phải giải mã và thực thi các dữ liệu nhận được.

Các lệnh đặc biệt bao gồm:

#KILL: Khởi động quá trình tự xóa và loại bỏ mọi dấu vết của hoạt động độc hại.

#HOST: Cập nhật địa chỉ máy chủ C2 của mạng botnet để tiếp tục liên lạc.

Cấu trúc lệnh linh hoạt này cho phép người vận hành điều chỉnh hành vi của phần mềm độc hại trong thời gian thực.

Kỹ thuật tấn công phi kỹ thuật (Social Engineering) giai đoạn: Sử dụng tài liệu giả mạo để đánh lạc hướng.

Để tăng hiệu quả, chiến dịch này kết hợp các chiến thuật kỹ thuật xã hội. Nạn nhân được đưa cho các tài liệu giả mạo có nội dung liên quan đến việc tuân thủ quy định, được thiết kế để trông có vẻ hợp pháp. Các tài liệu này đề cập đến các thương hiệu nổi tiếng như Edeka và bao gồm thông tin về bồi thường cùng với các điều khoản pháp luật hợp lệ. Những yếu tố này nhằm mục đích xây dựng lòng tin và đánh lừa các mục tiêu, đặc biệt là người tìm việc, khiến họ tương tác với nội dung độc hại.

Sự chồng chéo về chiến thuật: Liên kết với Chiến dịch ZipLine

Phân tích cho thấy những điểm tương đồng giữa PowMix và một chiến dịch đã được công bố trước đó có tên ZipLine, nhắm mục tiêu vào các lĩnh vực sản xuất quan trọng trong chuỗi cung ứng vào tháng 8 năm 2025. Các chiến thuật chung bao gồm việc phân phối dữ liệu dựa trên ZIP, duy trì hoạt động thông qua các tác vụ theo lịch trình và sử dụng cơ sở hạ tầng Heroku cho các hoạt động C2.

Mặc dù có sự trùng lặp này, nhưng không có thêm phần mềm độc hại nào khác ngoài mạng botnet PowMix được phát hiện. Điều này gây ra sự không chắc chắn về mục tiêu cuối cùng của chiến dịch, cho thấy rằng có thể sẽ xuất hiện thêm các diễn biến hoặc phần mềm độc hại giai đoạn thứ hai trong tương lai.

xu hướng

Xem nhiều nhất

Đang tải...