PowMix botnet
Kiberbiztonsági kutatók azonosítottak egy folyamatban lévő rosszindulatú kampányt, amely legalább 2025 decembere óta a csehországi munkaerőt célozza meg. A művelet középpontjában egy korábban nem dokumentált botnet, a PowMix áll. Ez a fenyegetés úgy van kialakítva, hogy megkerülje a hagyományos észlelési mechanizmusokat azáltal, hogy elkerüli a Command-and-Control (C2) infrastruktúrához fűződő állandó kapcsolatokat, ehelyett véletlenszerű kommunikációs mintákra támaszkodik.
Tartalomjegyzék
Lopakodó kommunikáció: Haladó C2 kitérési technikák
A PowMix kifinomult módszereket alkalmaz, hogy észrevétlen maradjon a hálózati környezetekben. Ahelyett, hogy folyamatos kapcsolatot tartana fenn a C2 szervereivel, véletlenszerű, PowerShell parancsok segítségével generált beaconing intervallumokat használ. Ezek az intervallumok kezdetben 0 és 261 másodperc között mozognak, majd később 1075 és 1450 másodperc közé bővülnek, hatékonyan megzavarva a kiszámítható forgalmi mintákat.
Ezenkívül a botnet titkosított szívverésadatokat és egyedi áldozatazonosítókat ágyaz be közvetlenül a C2 URL-útvonalakba, utánozva a legitim REST API forgalmat. Ez a kialakítás lehetővé teszi, hogy a rosszindulatú program zökkenőmentesen illeszkedjen a normál hálózati kommunikációba. A botnet képes dinamikusan frissíteni C2 tartományát a konfigurációs fájlján keresztül, biztosítva a működési folytonosságot még az infrastruktúra változása esetén is.
Fertőzéslánc: Többlépcsős telepítési stratégia
A támadás egy rosszindulatú ZIP archívummal kezdődik, amelyet jellemzően adathalász e-mailekben terjesztenek. Megnyitás után az archívum egy gondosan megtervezett, többlépcsős fertőzési folyamatot indít el:
- Egy Windows parancsikon (LNK) fájl indítja el a végrehajtást
- Egy PowerShell betöltő kinyeri és visszafejti a beágyazott hasznos adatot.
- A rosszindulatú program közvetlenül a memóriában fut, minimalizálva a lemezen található hibákat
Ez a fájl nélküli végrehajtási megközelítés jelentősen csökkenti a hagyományos biztonsági eszközök általi észlelés valószínűségét.
Képességek és fennmaradási mechanizmusok
A PowMix sokoldalú távoli hozzáférési eszközként lett kifejlesztve, amely lehetővé teszi a támadók számára felderítést, tetszőleges kód futtatását és a feltört rendszerek feletti hosszú távú ellenőrzés fenntartását. A perzisztencia ütemezett feladatok létrehozásával érhető el, biztosítva, hogy a rosszindulatú program a rendszer újraindítása után is aktív maradjon.
A működési stabilitás fenntartása érdekében a rosszindulatú program ellenőrzi a folyamatfát, hogy megakadályozza több példány egyidejű futását ugyanazon a gazdagépen.
Parancsvégrehajtási keretrendszer: Rugalmas vezérlőarchitektúra
A botnet a C2 szerver által kiadott parancsok két fő kategóriáját támogatja. Viselkedését a szerver válaszának formátuma határozza meg:
A '#' előtag nélküli parancsok tetszőleges végrehajtási módot indítanak el, ami arra készteti a rosszindulatú programot, hogy visszafejtse és végrehajtsa a fogadott hasznos adatokat.
A speciális parancsok a következők:
#KILL: Öntörlést indít, és eltávolítja a rosszindulatú tevékenység minden nyomát.
#HOST: Frissíti a botnet C2 szerver címét a folyamatos kommunikáció érdekében.
Ez a rugalmas parancsstruktúra lehetővé teszi az operátorok számára, hogy valós időben adaptálják a rosszindulatú program viselkedését.
Szociális manipuláció rétege: Csalóka dokumentumok figyelemelterelésként
A hatékonyság növelése érdekében a kampány társadalmi manipulációra épülő taktikákat alkalmaz. Az áldozatoknak olyan álcadokumentumokat mutatnak be, amelyek megfeleléssel kapcsolatos témákat tartalmaznak, és legitimnek tűnnek. Ezek a dokumentumok olyan ismert márkákra hivatkoznak, mint az Edeka, és a jogos jogszabályi hivatkozások mellett kompenzációs részleteket is tartalmaznak. Az ilyen elemek célja a bizalomépítés és a célpontok, különösen az álláskeresők megtévesztésére, hogy kapcsolatba lépjenek a rosszindulatú tartalommal.
Taktikai átfedés: Linkek a ZipLine kampányhoz
Az elemzés hasonlóságokat tárt fel a PowMix és egy korábban nyilvánosságra hozott, ZipLine néven ismert kampány között, amely 2025 augusztusában az ellátási lánc szempontjából kritikus gyártási szektorokat célozta meg. A közös taktikák közé tartozik a ZIP-alapú hasznos teher kézbesítése, az ütemezett feladatokon keresztüli adatmegőrzés és a Heroku infrastruktúra használata a C2 műveletekhez.
Ezen átfedések ellenére a PowMix botneten túl nem figyeltek meg további hasznos fájlokat. Ez bizonytalanságot hagy a kampány végső céljaival kapcsolatban, ami arra utal, hogy a jövőben további fejlesztések vagy másodlagos szintű hasznos fájlok jelenhetnek meg.
