PowMix ботнет
Истраживачи сајбер безбедности идентификовали су текућу злонамерну кампању усмерену на радну снагу у Чешкој Републици најмање од децембра 2025. године. У средишту ове операције је раније недокументована ботнет мрежа позната као PowMix. Ова претња је пројектована да избегне традиционалне механизме детекције избегавајући сталне везе са својом командно-контролном (C2) инфраструктуром, уместо тога ослањајући се на насумичне обрасце комуникације.
Преглед садржаја
Прикривена комуникација: Напредне технике избегавања C2
PowMix користи софистициране методе како би остао неоткривен у мрежним окружењима. Уместо одржавања континуираног контакта са својим C2 серверима, користи рандомизоване интервале сигнализације генерисане путем PowerShell команди. Ови интервали се у почетку крећу од 0 до 261 секунде, а касније се продужавају на између 1.075 и 1.450 секунди, ефикасно реметећи предвидљиве обрасце саобраћаја.
Поред тога, ботнет уграђује шифроване податке о откуцајима срца и јединствене идентификаторе жртве директно у C2 URL путање, опонашајући легитиман REST API саобраћај. Овај дизајн омогућава злонамерном софтверу да се беспрекорно уклопи у нормалну мрежну комуникацију. Ботнет је такође способан да динамички ажурира свој C2 домен путем своје конфигурационе датотеке, осигуравајући континуитет рада чак и ако се инфраструктура промени.
Ланац инфекције: Стратегија вишестепеног распоређивања
Напад почиње злонамерном ZIP архивом, која се обично дистрибуира путем фишинг имејлова. Након отварања, архива покреће пажљиво оркестриран, вишестепени процес инфекције:
- Windows пречица (LNK) датотека покреће извршавање
- PowerShell учитавач издваја и дешифрује уграђени корисни терет
- Злонамерни софтвер се извршава директно у меморији, минимизирајући артефакте диска
Овај приступ извршавања без датотека значајно смањује вероватноћу откривања конвенционалним безбедносним алатима.
Способности и механизми истрајности
PowMix је дизајниран као свестрани алат за даљински приступ, омогућавајући нападачима да врше извиђање, извршавају произвољни код и одржавају дугорочну контролу над угроженим системима. Упорност се постиже креирањем заказаних задатака, осигуравајући да злонамерни софтвер остане активан након поновног покретања система.
Да би одржао оперативну стабилност, злонамерни софтвер проверава стабло процеса како би спречио истовремено покретање више инстанци на истом хосту.
Оквир за извршавање команди: Флексибилна архитектура управљања
Ботнет подржава две основне категорије команди издатих са C2 сервера. Његово понашање је одређено форматом одговора сервера:
Команде без префикса '#' покрећу произвољни режим извршавања, подстичући злонамерни софтвер да дешифрује и изврши примљене корисне податке
Посебне команде укључују:
#KILL: Покреће самобрисање и уклања све трагове злонамерне активности
#HOST: Ажурира адресу C2 сервера ботнета за континуирану комуникацију
Ова флексибилна структура команде омогућава оператерима да прилагоде понашање злонамерног софтвера у реалном времену.
Слој социјалног инжењеринга: Документи мамац као дистракција
Да би се повећала њена ефикасност, кампања укључује тактике социјалног инжењеринга. Жртвама се представљају лажни документи са темама везаним за усклађеност, дизајнирани да изгледају легитимно. Ови документи помињу познате брендове као што је Едека и укључују детаље о компензацији поред легитимних законских референци. Такви елементи имају за циљ да изграде поверење и преваре мете, посебно тражиоце посла, да се укључе у злонамерни садржај.
Тактичко преклапање: Линкови до кампање Зиплајн
Анализа открива сличности између PowMix-а и раније откривене кампање познате као ZipLine, која је циљала производне секторе критичне за ланац снабдевања у августу 2025. године. Заједничке тактике укључују испоруку корисног терета засновану на ZIP-у, истрајност путем заказаних задатака и коришћење Heroku инфраструктуре за C2 операције.
Упркос овим преклапањима, нису примећени додатни корисни теретови изван самог PowMix ботнета. Ово оставља неизвесност у погледу крајњих циљева кампање, што сугерише да би се у будућности могли појавити даљи развоји или корисни терет секундарне фазе.
