בוטנט PowMix
חוקרי אבטחת סייבר זיהו קמפיין זדוני מתמשך המכוון נגד כוח העבודה בצ'כיה לפחות מאז דצמבר 2025. במרכז המבצע הזה עומדת בוטנט שלא תועד בעבר, המכונה PowMix. איום זה מתוכנן להתחמק ממנגנוני גילוי מסורתיים על ידי הימנעות מחיבורים מתמשכים לתשתית הפיקוד והשליטה (C2) שלה, ובמקום זאת להסתמך על דפוסי תקשורת אקראיים.
תוכן העניינים
תקשורת חשאית: טכניקות התחמקות מתקדמות של C2
PowMix ממנפת שיטות מתוחכמות כדי להישאר בלתי מזוהה בסביבות רשת. במקום לשמור על קשר רציף עם שרתי ה-C2 שלה, היא משתמשת במרווחי העברת נתונים אקראיים שנוצרים באמצעות פקודות PowerShell. מרווחים אלה נעים בתחילה בין 0 ל-261 שניות ובהמשך נמשכים בין 1,075 ל-1,450 שניות, ובכך משבשים למעשה דפוסי תנועה צפויים.
בנוסף, הבוטנט מטמיע נתוני פעימות לב מוצפנים ומזהי קורבנות ייחודיים ישירות בנתיבי URL של C2, ובכך מחקה תעבורת REST API לגיטימית. עיצוב זה מאפשר לתוכנה הזדונית להשתלב בצורה חלקה עם תקשורת רשת רגילה. הבוטנט מסוגל גם לעדכן באופן דינמי את תחום ה-C2 שלו דרך קובץ התצורה שלו, מה שמבטיח המשכיות תפעולית גם אם התשתית משתנה.
שרשרת הדבקה: אסטרטגיית פריסה רב-שלבית
ההתקפה מתחילה בארכיון ZIP זדוני, המופץ בדרך כלל באמצעות הודעות דוא"ל פישינג. לאחר פתיחתו, הארכיון מפעיל תהליך הדבקה רב-שלבי ומתוכנן בקפידה:
- קובץ קיצור דרך של Windows (LNK) מתחיל את ההפעלה
- טוען PowerShell מחלץ ומפענח את המטען המוטמע
- תוכנה זדונית מבוצעת ישירות בזיכרון, מה שממזער את הפרעות הדיסק
גישת ביצוע ללא קבצים זו מפחיתה משמעותית את הסבירות לגילוי על ידי כלי אבטחה קונבנציונליים.
יכולות ומנגנוני התמדה
PowMix תוכנן ככלי גישה מרחוק רב-תכליתי, המאפשר לתוקפים לבצע סיור, להפעיל קוד שרירותי ולשמור על שליטה ארוכת טווח על מערכות פרוצות. עמידות מושגת באמצעות יצירת משימות מתוזמנות, המבטיחות שהתוכנה הזדונית תישאר פעילה גם לאחר אתחול המערכת.
כדי לשמור על יציבות תפעולית, התוכנה הזדונית מאמתת את עץ התהליכים כדי למנוע הפעלה בו זמנית של מספר מופעים על אותו מחשב מארח.
מסגרת ביצוע פקודות: ארכיטקטורת בקרה גמישה
הבוטנט תומך בשתי קטגוריות עיקריות של פקודות המונפקות משרת C2. התנהגותו נקבעת על ידי פורמט תגובת השרת:
פקודות ללא קידומת '#' מפעילות מצב ביצוע שרירותי, מה שמניע את התוכנה הזדונית לפענח ולהפעיל מטענים שהתקבלו
פקודות מיוחדות כוללות:
#KILL: יוזם מחיקה עצמית ומסיר את כל עקבות הפעילות הזדונית
#HOST: מעדכן את כתובת שרת ה-C2 של הבוטנט להמשך תקשורת
מבנה פקודה גמיש זה מאפשר למפעילים להתאים את התנהגות הנוזקה בזמן אמת.
שכבת הנדסה חברתית: מסמכי פיתיון כהסחת דעת
כדי להגביר את יעילותו, הקמפיין משלב טקטיקות של הנדסה חברתית. לקורבנות מוצגים מסמכי פיתוי הכוללים נושאים הקשורים לציות שנועדו להיראות לגיטימיים. מסמכים אלה מתייחסים למותגים ידועים כמו Edeka וכוללים פרטי שכר לצד אזכורים חקיקתיים לגיטימיים. אלמנטים כאלה נועדו לבנות אמון ולהונות מטרות, ובמיוחד מחפשי עבודה, כדי שיוכלו לעסוק בתוכן הזדוני.
חפיפה טקטית: קישורים לקמפיין אומגה
ניתוח מגלה קווי דמיון בין PowMix לבין קמפיין שנחשף בעבר בשם ZipLine, שפנה למגזרי ייצור קריטיים לשרשרת האספקה באוגוסט 2025. טקטיקות משותפות כוללות אספקת מטען מבוסס ZIP, התמדה באמצעות משימות מתוזמנות ושימוש בתשתית Heroku עבור פעולות C2.
למרות חפיפות אלו, לא נצפו מטענים נוספים מעבר לבוטנט PowMix עצמו. עובדה זו מותירה אי ודאות לגבי המטרות הסופיות של הקמפיין, דבר המצביע על כך שייתכנו התפתחויות נוספות או מטענים בשלב משני בעתיד.
