Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Rețeaua de bot PowMix

Rețeaua de bot PowMix

Până în Mezo în Rețele bot
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat o campanie malițioasă în desfășurare, care vizează forța de muncă din Republica Cehă, încă din decembrie 2025. În centrul acestei operațiuni se află o rețea de bot-uri nedocumentată anterior, cunoscută sub numele de PowMix. Această amenințare este concepută pentru a evita mecanismele tradiționale de detectare, evitând conexiunile persistente la infrastructura sa de comandă și control (C2), bazându-se în schimb pe modele de comunicare randomizate.

Comunicare ascunsă: Tehnici avansate de evitare a atacului C2

PowMix utilizează metode sofisticate pentru a rămâne nedetectat în mediile de rețea. În loc să mențină un contact continuu cu serverele sale C2, folosește intervale de beaconing randomizate generate prin comenzi PowerShell. Aceste intervale variază inițial între 0 și 261 de secunde și ulterior se extind între 1.075 și 1.450 de secunde, perturbând efectiv tiparele de trafic previzibile.

În plus, botnet-ul încorporează date criptate despre pulsul inimii și identificatori unici ai victimelor direct în căile URL C2, imitând traficul API REST legitim. Acest design permite malware-ului să se integreze perfect în comunicațiile normale ale rețelei. Botnet-ul este, de asemenea, capabil să își actualizeze dinamic domeniul C2 prin intermediul fișierului său de configurare, asigurând continuitatea operațională chiar dacă infrastructura se modifică.

Lanțul de infecție: Strategie de implementare în mai multe etape

Atacul începe cu o arhivă ZIP malițioasă, distribuită de obicei prin e-mailuri de tip phishing. Odată deschisă, arhiva declanșează un proces de infectare în mai multe etape, atent orchestrat:

  • Un fișier Windows Shortcut (LNK) inițiază execuția
  • Un încărcător PowerShell extrage și decriptează sarcina utilă încorporată
  • Malware-ul este executat direct în memorie, minimizând artefactele de pe disc.

Această abordare de execuție fără fișiere reduce semnificativ probabilitatea de detectare de către instrumentele de securitate convenționale.

Capacități și mecanisme de persistență

PowMix este conceput ca un instrument versatil de acces la distanță, permițând atacatorilor să efectueze recunoaștere, să execute cod arbitrar și să mențină controlul pe termen lung asupra sistemelor compromise. Persistența se obține prin crearea de sarcini programate, asigurând că malware-ul rămâne activ după repornirea sistemului.

Pentru a menține stabilitatea operațională, malware-ul verifică arborele de procese pentru a preveni rularea simultană a mai multor instanțe pe aceeași gazdă.

Cadrul de execuție a comenzilor: Arhitectură de control flexibilă

Botnet-ul acceptă două categorii principale de comenzi emise de serverul C2. Comportamentul său este determinat de formatul răspunsului serverului:

Comenzile fără prefixul „#” declanșează un mod de execuție arbitrar, determinând malware-ul să decripteze și să execute payload-urile primite.

Comenzile speciale includ:

#KILL: Inițiază autoștergerea și elimină toate urmele de activitate rău intenționată

#HOST: Actualizează adresa serverului C2 al botnet-ului pentru comunicarea continuă

Această structură de comandă flexibilă permite operatorilor să adapteze comportamentul malware-ului în timp real.

Stratul de inginerie socială: documente capcană ca distragere a atenției

Pentru a-și spori eficiența, campania încorporează tactici de inginerie socială. Victimelor li se prezintă documente capcană care prezintă teme legate de conformitate, concepute pentru a părea legitime. Aceste documente fac referire la mărci cunoscute precum Edeka și includ detalii despre compensații, alături de referințe legislative legitime. Astfel de elemente sunt menite să consolideze încrederea și să inducă în eroare persoanele vizate, în special persoanele aflate în căutarea unui loc de muncă, pentru a le induce în discuție conținutul rău intenționat.

Suprapunere tactică: Legături cu campania ZipLine

Analiza relevă asemănări între PowMix și o campanie dezvăluită anterior, cunoscută sub numele de ZipLine, care a vizat sectoarele de producție critice pentru lanțul de aprovizionare în august 2025. Tacticile comune includ livrarea de sarcini utile bazate pe ZIP, persistența prin sarcini programate și utilizarea infrastructurii Heroku pentru operațiuni C2.

În ciuda acestor suprapuneri, nu au fost observate sarcini suplimentare în afara rețelei bot PowMix în sine. Acest lucru lasă incertitudine cu privire la obiectivele finale ale campaniei, sugerând că în viitor ar putea apărea dezvoltări ulterioare sau sarcini de nivel secundar.

Trending

Cele mai văzute

Se încarcă...