Оферта за отстъпка за множество лицензи
База данни за заплахи Ботнет мрежи PowMix ботнет

PowMix ботнет

До Mezo през Ботнет мрежиг
Превод на:

Изследователи по киберсигурност са идентифицирали продължаваща злонамерена кампания, насочена към работната сила в Чехия поне от декември 2025 г. В центъра на тази операция е недокументирана досега ботнет мрежа, известна като PowMix. Тази заплаха е проектирана да заобикаля традиционните механизми за откриване, като избягва постоянни връзки към своята инфраструктура за командване и контрол (C2), вместо това разчитайки на рандомизирани комуникационни модели.

Стелт комуникация: Усъвършенствани техники за избягване на C2

PowMix използва сложни методи, за да остане незабелязан в мрежови среди. Вместо да поддържа непрекъснат контакт със своите C2 сървъри, той използва рандомизирани интервали за маяци, генерирани чрез PowerShell команди. Тези интервали първоначално варират от 0 до 261 секунди и по-късно се удължават до между 1075 и 1450 секунди, като ефективно нарушава предвидимите модели на трафик.

Освен това, ботнетът вгражда криптирани данни за пулса и уникални идентификатори на жертвата директно в C2 URL пътища, имитирайки легитимен REST API трафик. Този дизайн позволява на зловредния софтуер да се слее безпроблемно с нормалните мрежови комуникации. Ботнетът е способен и динамично да актуализира своя C2 домейн чрез конфигурационния си файл, осигурявайки непрекъснатост на работата, дори ако инфраструктурата се промени.

Верига на заразяване: Многоетапна стратегия за внедряване

Атаката започва със злонамерен ZIP архив, обикновено разпространяван чрез фишинг имейли. След отваряне, архивът задейства внимателно организиран, многоетапен процес на заразяване:

  • Файл с пряк път на Windows (LNK) инициира изпълнението
  • PowerShell loader извлича и декриптира вградения полезен товар
  • Зловредният софтуер се изпълнява директно в паметта, което минимизира дисковите артефакти.

Този подход за изпълнение без файлове значително намалява вероятността от откриване от конвенционалните инструменти за сигурност.

Възможности и механизми за устойчивост

PowMix е проектиран като универсален инструмент за отдалечен достъп, който позволява на атакуващите да извършват разузнаване, да изпълняват произволен код и да поддържат дългосрочен контрол върху компрометираните системи. Устойчивостта се постига чрез създаване на планирани задачи, гарантиращи, че зловредният софтуер остава активен след рестартиране на системата.

За да поддържа оперативна стабилност, зловредният софтуер проверява дървото на процесите, за да предотврати едновременното изпълнение на множество екземпляри на един и същ хост.

Рамка за изпълнение на команди: Гъвкава архитектура на управление

Ботнетът поддържа две основни категории команди, издавани от C2 сървъра. Поведението му се определя от формата на отговора на сървъра:

Командите без префикс '#' задействат режим на произволно изпълнение, което подтиква зловредния софтуер да декриптира и изпълни получените полезни товари.

Специалните команди включват:

#KILL: Започва самоизтриване и премахва всички следи от злонамерена дейност

#HOST: Актуализира адреса на C2 сървъра на ботнета за непрекъсната комуникация

Тази гъвкава структура на командите позволява на операторите да адаптират поведението на зловредния софтуер в реално време.

Слой за социално инженерство: Документи-примамки като разсейване

За да подобри ефективността си, кампанията включва тактики на социално инженерство. На жертвите се представят документи-примамки с теми, свързани със съответствието, предназначени да изглеждат легитимни. Тези документи съдържат препратки към известни марки като Edeka и включват подробности за възнагражденията, наред с легитимни законодателни препратки. Такива елементи имат за цел да изградят доверие и да подведат жертвите, особено търсещите работа, да се ангажират със злонамереното съдържание.

Тактическо припокриване: Връзки към кампанията ZipLine

Анализът разкрива прилики между PowMix и предварително разкрита кампания, известна като ZipLine, която беше насочена към критични за веригата за доставки производствени сектори през август 2025 г. Споделените тактики включват доставка на полезен товар чрез ZIP, постоянство чрез планирани задачи и използване на инфраструктурата Heroku за C2 операции.

Въпреки тези припокривания, не са наблюдавани допълнителни полезни товари освен самата ботнет мрежа PowMix. Това оставя неяснота относно крайните цели на кампанията, което предполага, че в бъдеще може да се появят по-нататъшни разработки или полезни товари от вторичен етап.

Тенденция

Panneyess.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете предпазливи, докато сърфирате в интернет, е по-важно от всякога. Измамническите уебсайтове са създадени да експлоатират невниманието и доверието, като често използват подвеждащи техники,...

Mightytechy.com

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
Защитата на устройствата от натрапчиви и ненадеждни приложения е критична част от поддържането на дигиталната сигурност. Потенциално нежеланите програми (PUP), особено тези, свързани с...

Най-гледан

Зареждане...