PowMix बोटनेट
साइबर सुरक्षा अनुसन्धानकर्ताहरूले कम्तिमा डिसेम्बर २०२५ देखि चेक गणतन्त्रमा कार्यबललाई लक्षित गर्दै चलिरहेको दुर्भावनापूर्ण अभियान पहिचान गरेका छन्। यस अपरेशनको केन्द्रमा पहिले कागजात नगरिएको PowMix भनेर चिनिने बोटनेट छ। यो खतरा यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा निरन्तर जडानहरू बेवास्ता गरेर, अनियमित सञ्चार ढाँचाहरूमा भर परेर परम्परागत पत्ता लगाउने संयन्त्रहरूबाट बच्नको लागि ईन्जिनियर गरिएको छ।
सामग्रीको तालिका
गोप्य सञ्चार: उन्नत C2 चोरी प्रविधिहरू
नेटवर्क वातावरण भित्र पत्ता नलाग्नको लागि PowMix ले परिष्कृत विधिहरूको प्रयोग गर्दछ। यसको C2 सर्भरहरूसँग निरन्तर सम्पर्क कायम राख्नुको सट्टा, यसले PowerShell आदेशहरू मार्फत उत्पन्न हुने अनियमित बीकनिङ अन्तरालहरू प्रयोग गर्दछ। यी अन्तरालहरू सुरुमा ० देखि २६१ सेकेन्डसम्म हुन्छन् र पछि १,०७५ र १,४५० सेकेन्डसम्म विस्तार हुन्छन्, जसले गर्दा अनुमानित ट्राफिक ढाँचाहरूलाई प्रभावकारी रूपमा बाधा पुर्याउँछ।
थप रूपमा, बोटनेटले एन्क्रिप्टेड हार्टबिट डेटा र अद्वितीय पीडित पहिचानकर्ताहरूलाई सिधै C2 URL पथहरूमा इम्बेड गर्दछ, वैध REST API ट्राफिकको नक्कल गर्दै। यो डिजाइनले मालवेयरलाई सामान्य नेटवर्क सञ्चारसँग निर्बाध रूपमा मिश्रण गर्न सक्षम बनाउँछ। बोटनेटले यसको कन्फिगरेसन फाइल मार्फत यसको C2 डोमेनलाई गतिशील रूपमा अद्यावधिक गर्न पनि सक्षम छ, पूर्वाधार परिवर्तन भए पनि सञ्चालन निरन्तरता सुनिश्चित गर्दै।
संक्रमण शृङ्खला: बहु-चरणीय तैनाती रणनीति
आक्रमण एक दुर्भावनापूर्ण ZIP अभिलेखबाट सुरु हुन्छ, जुन सामान्यतया फिसिङ इमेलहरू मार्फत वितरित गरिन्छ। एक पटक खोलिएपछि, अभिलेखले सावधानीपूर्वक व्यवस्थित, बहु-चरणीय संक्रमण प्रक्रिया ट्रिगर गर्दछ:
- विन्डोज सर्टकट (LNK) फाइलले कार्यान्वयन सुरु गर्छ
- PowerShell लोडरले एम्बेडेड पेलोड निकाल्छ र डिक्रिप्ट गर्छ।
- मालवेयर सिधै मेमोरीमा कार्यान्वयन गरिन्छ, डिस्क कलाकृतिहरूलाई न्यूनतम गर्दै
यो फाइलरहित कार्यान्वयन दृष्टिकोणले परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता लगाउने सम्भावनालाई उल्लेखनीय रूपमा कम गर्छ।
क्षमता र दृढता संयन्त्रहरू
PowMix एक बहुमुखी रिमोट एक्सेस उपकरणको रूपमा डिजाइन गरिएको छ, जसले आक्रमणकारीहरूलाई जासूसी गर्न, मनमानी कोड कार्यान्वयन गर्न र सम्झौता गरिएका प्रणालीहरूमा दीर्घकालीन नियन्त्रण कायम राख्न सक्षम बनाउँछ। निर्धारित कार्यहरू सिर्जना गरेर स्थिरता प्राप्त गरिन्छ, जसले गर्दा मालवेयर प्रणाली रिबुटहरूमा सक्रिय रहन्छ भन्ने कुरा सुनिश्चित हुन्छ।
सञ्चालन स्थिरता कायम राख्न, मालवेयरले एउटै होस्टमा एकैसाथ धेरै उदाहरणहरू चल्नबाट रोक्न प्रक्रिया रूख प्रमाणित गर्दछ।
आदेश कार्यान्वयन रूपरेखा: लचिलो नियन्त्रण वास्तुकला
बोटनेटले C2 सर्भरबाट जारी गरिएका दुई प्राथमिक कोटीका आदेशहरूलाई समर्थन गर्दछ। यसको व्यवहार सर्भरको प्रतिक्रियाको ढाँचाद्वारा निर्धारण गरिन्छ:
'#' उपसर्ग बिनाका आदेशहरूले मनमानी कार्यान्वयन मोड ट्रिगर गर्छन्, जसले गर्दा मालवेयरले प्राप्त पेलोडहरू डिक्रिप्ट र कार्यान्वयन गर्न प्रेरित गर्छ।
विशेष आदेशहरू समावेश छन्:
#KILL: आफैंलाई मेटाउने काम सुरु गर्छ र दुर्भावनापूर्ण गतिविधिका सबै निशानहरू हटाउँछ।
#HOST: निरन्तर सञ्चारको लागि बोटनेटको C2 सर्भर ठेगाना अपडेट गर्दछ।
यो लचिलो आदेश संरचनाले अपरेटरहरूलाई वास्तविक समयमा मालवेयरको व्यवहार अनुकूलन गर्न अनुमति दिन्छ।
सामाजिक इन्जिनियरिङ तह: विचलनको रूपमा कागजातहरू डिकोय गर्नुहोस्
यसको प्रभावकारितालाई अझ बढाउन, अभियानले सामाजिक इन्जिनियरिङ रणनीतिहरू समावेश गर्दछ। पीडितहरूलाई वैध देखिन डिजाइन गरिएका अनुपालन-सम्बन्धित विषयवस्तुहरू प्रस्तुत गर्ने नक्कली कागजातहरू प्रस्तुत गरिन्छ। यी कागजातहरूले एडेका जस्ता प्रसिद्ध ब्रान्डहरूलाई सन्दर्भ गर्दछन् र वैध विधायी सन्दर्भहरूसँगै क्षतिपूर्ति विवरणहरू पनि समावेश गर्दछन्। त्यस्ता तत्वहरू विश्वास निर्माण गर्न र लक्षितहरू, विशेष गरी जागिर खोज्नेहरूलाई दुर्भावनापूर्ण सामग्रीमा संलग्न गराउन धोका दिनको लागि हुन्।
रणनीतिक ओभरल्याप: जिपलाइन अभियानका लिङ्कहरू
विश्लेषणले PowMix र पहिले खुलासा गरिएको ZipLine भनेर चिनिने अभियान बीच समानताहरू प्रकट गर्दछ, जसले अगस्ट २०२५ मा आपूर्ति श्रृंखला-महत्वपूर्ण उत्पादन क्षेत्रहरूलाई लक्षित गरेको थियो। साझा रणनीतिहरूमा ZIP-आधारित पेलोड डेलिभरी, निर्धारित कार्यहरू मार्फत दृढता, र C2 सञ्चालनहरूको लागि Heroku पूर्वाधारको प्रयोग समावेश छ।
यी ओभरल्यापहरूको बावजुद, PowMix बोटनेटभन्दा बाहिर कुनै अतिरिक्त पेलोडहरू अवलोकन गरिएको छैन। यसले अभियानको अन्तिम उद्देश्यहरूको बारेमा अनिश्चितता छोड्छ, जसले भविष्यमा थप विकास वा माध्यमिक-चरण पेलोडहरू देखा पर्न सक्छन् भन्ने सुझाव दिन्छ।
