Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets PowMix Botnet

PowMix Botnet

Nga MezoBotnets
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar një fushatë të vazhdueshme keqdashëse që synon fuqinë punëtore në Republikën Çeke që të paktën nga dhjetori 2025. Në qendër të këtij operacioni është një botnet i padokumentuar më parë i njohur si PowMix. Ky kërcënim është projektuar për të shmangur mekanizmat tradicionalë të zbulimit duke shmangur lidhjet e vazhdueshme me infrastrukturën e tij të Komandës dhe Kontrollit (C2), duke u mbështetur në modele komunikimi të rastësishme.

Komunikim i fshehtë: Teknika të avancuara të shmangies C2

PowMix përdor metoda të sofistikuara për të mbetur i pazbuluar brenda mjediseve të rrjetit. Në vend që të mbajë kontakt të vazhdueshëm me serverat e tij C2, ai përdor intervale të rastësishme sinjalizimi të gjeneruara nëpërmjet komandave PowerShell. Këto intervale fillimisht variojnë nga 0 deri në 261 sekonda dhe më vonë shtrihen në 1,075 deri në 1,450 sekonda, duke prishur në mënyrë efektive modelet e parashikueshme të trafikut.

Për më tepër, botneti integron të dhëna të enkriptuara të rrahjeve të zemrës dhe identifikues unikë të viktimave direkt në shtigjet URL C2, duke imituar trafikun legjitim të REST API. Ky dizajn i mundëson programit keqdashës të përzihet pa probleme me komunikimet normale të rrjetit. Botneti është gjithashtu i aftë të përditësojë dinamikisht domenin e tij C2 përmes skedarit të tij të konfigurimit, duke siguruar vazhdimësi operacionale edhe nëse infrastruktura ndryshon.

Zinxhiri i Infeksionit: Strategjia e Vendosjes Shumëfazore

Sulmi fillon me një arkiv ZIP keqdashës, që zakonisht shpërndahet përmes emaileve phishing. Pasi hapet, arkivi shkakton një proces infektimi shumëfazor të orkestruar me kujdes:

  • Një skedar i shkurtores së Windows (LNK) fillon ekzekutimin
  • Një ngarkues PowerShell nxjerr dhe deshifron ngarkesën e integruar
  • Malware ekzekutohet direkt në memorie, duke minimizuar artefaktet e diskut

Kjo qasje e ekzekutimit pa skedar zvogëlon ndjeshëm mundësinë e zbulimit nga mjetet konvencionale të sigurisë.

Aftësitë dhe Mekanizmat e Qëndrueshmërisë

PowMix është projektuar si një mjet i gjithanshëm për akses në distancë, duke u mundësuar sulmuesve të kryejnë zbulim, të ekzekutojnë kod arbitrar dhe të ruajnë kontroll afatgjatë mbi sistemet e kompromentuara. Qëndrueshmëria arrihet përmes krijimit të detyrave të planifikuara, duke siguruar që programi keqdashës të mbetet aktiv gjatë rinisjeve të sistemit.

Për të ruajtur stabilitetin operativ, programi keqdashës verifikon pemën e procesit për të parandaluar që shumë instanca të ekzekutohen njëkohësisht në të njëjtin host.

Korniza e Ekzekutimit të Komandave: Arkitekturë Fleksibile e Kontrollit

Botneti mbështet dy kategori kryesore komandash të lëshuara nga serveri C2. Sjellja e tij përcaktohet nga formati i përgjigjes së serverit:

Komandat pa parashtesë '#' aktivizojnë modalitetin arbitrar të ekzekutimit, duke e nxitur programin keqdashës të deshifrojë dhe ekzekutojë ngarkesat e marra.

Komandat speciale përfshijnë:

#KILL: Nis vetë-fshirjen dhe heq të gjitha gjurmët e aktivitetit dashakeq

#HOST: Përditëson adresën e serverit C2 të botnet-it për komunikim të vazhdueshëm

Kjo strukturë fleksibile komande u lejon operatorëve të përshtasin sjelljen e malware-it në kohë reale.

Shtresa e Inxhinierisë Sociale: Dokumentet Karrem si Shpërqendrim

Për të çuar më tej efektivitetin e saj, fushata përfshin taktika të inxhinierisë sociale. Viktimave u paraqiten dokumente mashtruese që përmbajnë tema të lidhura me pajtueshmërinë, të dizajnuara për t'u dukur të ligjshme. Këto dokumente i referohen markave të njohura si Edeka dhe përfshijnë detaje kompensimi së bashku me referenca legjislative legjislative. Elementë të tillë kanë për qëllim të ndërtojnë besim dhe të mashtrojnë objektivat, veçanërisht ata që kërkojnë punë, që të angazhohen me përmbajtjen dashakeqe.

Mbivendosje Taktike: Lidhje me Fushatën ZipLine

Analiza zbulon ngjashmëri midis PowMix dhe një fushate të zbuluar më parë të njohur si ZipLine, e cila synonte sektorët e prodhimit kritikë për zinxhirin e furnizimit në gusht 2025. Taktikat e përbashkëta përfshijnë shpërndarjen e ngarkesës së bazuar në ZIP, vazhdimësinë nëpërmjet detyrave të planifikuara dhe përdorimin e infrastrukturës Heroku për operacionet C2.

Pavarësisht këtyre mbivendosjeve, nuk janë vërejtur ngarkesa shtesë përtej vetë botnetit PowMix. Kjo lë pasiguri në lidhje me objektivat përfundimtare të fushatës, duke sugjeruar se në të ardhmen mund të shfaqen zhvillime të mëtejshme ose ngarkesa të fazës dytësore.

Në trend

Më e shikuara

Po ngarkohet...