Скидка на мультилицензию
База данных угроз Ботнеты Ботнет PowMix

Ботнет PowMix

К Mezo году в Ботнеты году
Перевести на:

Исследователи в области кибербезопасности выявили продолжающуюся вредоносную кампанию, направленную против работников Чешской Республики, которая ведется как минимум с декабря 2025 года. В центре этой операции находится ранее не описанный ботнет, известный как PowMix. Эта угроза разработана таким образом, чтобы обходить традиционные механизмы обнаружения, избегая постоянных соединений со своей инфраструктурой управления и контроля (C2), вместо этого полагаясь на случайные шаблоны связи.

Скрытая связь: передовые методы уклонения от командования и управления.

PowMix использует сложные методы, позволяющие оставаться незамеченным в сетевой среде. Вместо поддержания постоянной связи со своими серверами управления и контроля (C2) он использует случайные интервалы отправки сигналов, генерируемые командами PowerShell. Эти интервалы первоначально варьируются от 0 до 261 секунды, а затем увеличиваются до 1075–1450 секунд, эффективно нарушая предсказуемые схемы трафика.

Кроме того, ботнет внедряет зашифрованные данные пульса и уникальные идентификаторы жертв непосредственно в пути URL-адресов C2, имитируя легитимный трафик REST API. Такая конструкция позволяет вредоносному ПО незаметно сливаться с обычными сетевыми коммуникациями. Ботнет также способен динамически обновлять свой домен C2 через файл конфигурации, обеспечивая непрерывность работы даже при изменении инфраструктуры.

Цепочка заражения: многоэтапная стратегия развертывания

Атака начинается со вредоносного ZIP-архива, обычно распространяемого через фишинговые электронные письма. После открытия архив запускает тщательно спланированный многоэтапный процесс заражения:

  • Файл ярлыка Windows (LNK) инициирует выполнение.
  • Загрузчик PowerShell извлекает и расшифровывает встроенную полезную нагрузку.
  • Вредоносная программа выполняется непосредственно в оперативной памяти, что сводит к минимуму влияние дисковых файлов.

Такой подход к выполнению без использования файлов значительно снижает вероятность обнаружения традиционными средствами обеспечения безопасности.

Возможности и механизмы обеспечения устойчивости

PowMix разработан как универсальный инструмент удаленного доступа, позволяющий злоумышленникам проводить разведку, выполнять произвольный код и поддерживать долгосрочный контроль над скомпрометированными системами. Постоянное присутствие вредоносного ПО обеспечивается созданием запланированных задач, гарантирующих его активность после перезагрузки системы.

Для поддержания операционной стабильности вредоносная программа проверяет дерево процессов, чтобы предотвратить одновременный запуск нескольких экземпляров на одном хосте.

Структура выполнения команд: гибкая архитектура управления

Ботнет поддерживает две основные категории команд, отправляемых с сервера управления и контроля (C2). Его поведение определяется форматом ответа сервера:

Команды без префикса '#' запускают произвольный режим выполнения, побуждая вредоносную программу расшифровать и выполнить полученные полезные нагрузки.

В число специальных команд входят:

#KILL: Инициирует самоудаление и удаляет все следы вредоносной активности.

#HOST: Обновляет адрес C2-сервера ботнета для обеспечения непрерывной связи.

Эта гибкая структура управления позволяет операторам адаптировать поведение вредоносного ПО в режиме реального времени.

Уровень социальной инженерии: поддельные документы как отвлекающий маневр

Для повышения эффективности кампании используются методы социальной инженерии. Жертвам демонстрируются поддельные документы, содержащие элементы, связанные с соблюдением нормативных требований, которые выглядят правдоподобно. В этих документах упоминаются известные бренды, такие как Edeka, и приводятся сведения о компенсациях наряду с ссылками на законные законодательные акты. Эти элементы призваны внушить доверие и обмануть жертв, особенно соискателей работы, заставив их взаимодействовать с вредоносным контентом.

Тактическое пересечение: связь с кампанией ZipLine

Анализ выявляет сходства между PowMix и ранее раскрытой кампанией под названием ZipLine, которая в августе 2025 года была нацелена на критически важные для цепочки поставок производственные сектора. Общие тактики включают доставку полезной нагрузки на основе ZIP-архивов, обеспечение постоянного присутствия с помощью запланированных задач и использование инфраструктуры Heroku для операций управления и контроля.

Несмотря на эти совпадения, никаких дополнительных полезных нагрузок, помимо самого ботнета PowMix, обнаружено не было. Это оставляет неопределенность относительно конечных целей кампании, предполагая, что в будущем могут появиться дальнейшие разработки или полезные нагрузки вторичного этапа.

В тренде

Panneyess.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Сейчас как никогда важно проявлять осторожность при просмотре интернета. Мошеннические веб-сайты созданы для того, чтобы использовать невнимательность и доверие, часто применяя обманные методы,...

Mightytechy.com

Мошеннические сайты, Браузерные хайджекеры, Потенциально нежелательные программы
Защита устройств от навязчивых и ненадежных приложений является важнейшей частью обеспечения цифровой безопасности. Потенциально нежелательные программы (ПНЗ), особенно связанные с угонщиками...

Наиболее просматриваемые

Загрузка...