Ponuda s popustom na više licenci
Baza prijetnji Botneti PowMix Botnet

PowMix Botnet

Do Mezo. Botneti. godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su zlonamjernu kampanju usmjerenu na radnu snagu u Češkoj Republici barem od prosinca 2025. U središtu ove operacije je prethodno nedokumentirani botnet poznat kao PowMix. Ova je prijetnja osmišljena kako bi izbjegla tradicionalne mehanizme otkrivanja izbjegavajući trajne veze sa svojom infrastrukturom zapovijedanja i kontrole (C2), umjesto toga oslanjajući se na nasumične komunikacijske obrasce.

Prikrivena komunikacija: Napredne tehnike izbjegavanja C2

PowMix koristi sofisticirane metode kako bi ostao neotkriven u mrežnim okruženjima. Umjesto održavanja kontinuiranog kontakta sa svojim C2 poslužiteljima, koristi nasumične intervale signalizacije generirane putem PowerShell naredbi. Ti intervali u početku se kreću od 0 do 261 sekunde, a kasnije se produžuju na između 1075 i 1450 sekundi, učinkovito remeteći predvidljive obrasce prometa.

Osim toga, botnet ugrađuje šifrirane podatke o otkucajima srca i jedinstvene identifikatore žrtve izravno u C2 URL putanje, oponašajući legitimni REST API promet. Ovaj dizajn omogućuje zlonamjernom softveru da se besprijekorno uklopi u normalnu mrežnu komunikaciju. Botnet je također sposoban dinamički ažurirati svoju C2 domenu putem svoje konfiguracijske datoteke, osiguravajući kontinuitet rada čak i ako se infrastruktura promijeni.

Lanac infekcije: Strategija implementacije u više faza

Napad započinje zlonamjernom ZIP arhivom, koja se obično distribuira putem phishing e-poruka. Nakon otvaranja, arhiva pokreće pažljivo orkestrirani, višefazni proces zaraze:

  • Datoteka prečaca sustava Windows (LNK) pokreće izvršavanje
  • PowerShell loader izdvaja i dešifrira ugrađeni teret
  • Zlonamjerni softver se izvršava izravno u memoriji, minimizirajući artefakte na disku

Ovaj pristup izvršavanja bez datoteka značajno smanjuje vjerojatnost otkrivanja konvencionalnim sigurnosnim alatima.

Mogućnosti i mehanizmi ustrajnosti

PowMix je osmišljen kao svestran alat za udaljeni pristup koji napadačima omogućuje izviđanje, izvršavanje proizvoljnog koda i održavanje dugoročne kontrole nad kompromitiranim sustavima. Upornost se postiže stvaranjem planiranih zadataka, osiguravajući da zlonamjerni softver ostane aktivan i nakon ponovnog pokretanja sustava.

Kako bi održao operativnu stabilnost, zlonamjerni softver provjerava stablo procesa kako bi spriječio istovremeno pokretanje više instanci na istom hostu.

Okvir za izvršavanje naredbi: Fleksibilna arhitektura upravljanja

Botnet podržava dvije primarne kategorije naredbi izdanih s C2 poslužitelja. Njegovo ponašanje određeno je formatom odgovora poslužitelja:

Naredbe bez prefiksa '#' pokreću proizvoljni način izvršavanja, potičući zlonamjerni softver da dešifrira i izvrši primljene korisne podatke.

Posebne naredbe uključuju:

#KILL: Pokreće samobrisanje i uklanja sve tragove zlonamjerne aktivnosti

#HOST: Ažurira adresu C2 servera botneta za nastavak komunikacije

Ova fleksibilna struktura naredbi omogućuje operaterima prilagodbu ponašanja zlonamjernog softvera u stvarnom vremenu.

Sloj socijalnog inženjeringa: Dokumenti mamci kao distrakcija

Kako bi se povećala učinkovitost, kampanja uključuje taktike socijalnog inženjeringa. Žrtvama se predstavljaju lažni dokumenti s temama vezanim uz usklađenost, osmišljeni da izgledaju legitimno. Ti dokumenti spominju poznate robne marke poput Edeke i uključuju detalje o naknadama uz legitimne zakonske reference. Takvi elementi namijenjeni su izgradnji povjerenja i prevariti mete, posebno tražitelje posla, da se uključe u zlonamjerni sadržaj.

Taktičko preklapanje: Poveznice s kampanjom ZipLine

Analiza otkriva sličnosti između PowMixa i prethodno otkrivene kampanje poznate kao ZipLine, koja je u kolovozu 2025. ciljala na ključne proizvodne sektore opskrbnog lanca. Zajedničke taktike uključuju dostavu korisnog tereta temeljenu na ZIP-u, perzistentnost putem planiranih zadataka i korištenje Heroku infrastrukture za C2 operacije.

Unatoč tim preklapanjima, nisu uočeni dodatni korisni sadržaji osim samog PowMix botneta. To ostavlja neizvjesnost u pogledu krajnjih ciljeva kampanje, što sugerira da bi se u budućnosti mogli pojaviti daljnji razvoji ili korisni sadržaji sekundarne faze.

U trendu

Nagledanije

Učitavam...