Ботнет PowMix
Дослідники з кібербезпеки виявили шкідливу кампанію, спрямовану проти робочої сили в Чеській Республіці щонайменше з грудня 2025 року. У центрі цієї операції знаходиться раніше недокументований ботнет, відомий як PowMix. Ця загроза розроблена таким чином, щоб обійти традиційні механізми виявлення, уникаючи постійних підключень до своєї інфраструктури командування та управління (C2), натомість покладаючись на випадкові схеми зв'язку.
Зміст
Прихований зв’язок: Розширені методи ухилення від C2
PowMix використовує складні методи, щоб залишатися непоміченим у мережевих середовищах. Замість підтримки постійного зв'язку зі своїми C2-серверами, він використовує рандомізовані інтервали маяків, що генеруються за допомогою команд PowerShell. Ці інтервали спочатку коливаються від 0 до 261 секунди, а пізніше збільшуються до 1075-1450 секунд, що ефективно порушує передбачувані схеми трафіку.
Крім того, ботнет вбудовує зашифровані дані серцебиття та унікальні ідентифікатори жертви безпосередньо в URL-шляхи C2, імітуючи легітимний трафік REST API. Така конструкція дозволяє шкідливому програмному забезпеченню безперешкодно інтегруватися зі звичайним мережевим зв'язком. Ботнет також здатний динамічно оновлювати свій домен C2 через файл конфігурації, забезпечуючи безперервність роботи навіть у разі змін інфраструктури.
Ланцюг зараження: багатоетапна стратегія розгортання
Атака починається зі шкідливого ZIP-архіву, який зазвичай розповсюджується через фішингові електронні листи. Після відкриття архів запускає ретельно спланований багатоетапний процес зараження:
- Файл ярлика Windows (LNK) ініціює виконання
- Завантажувач PowerShell витягує та розшифровує вбудоване корисне навантаження
- Шкідливе програмне забезпечення виконується безпосередньо в пам'яті, мінімізуючи артефакти диска.
Такий підхід до виконання без файлів значно знижує ймовірність виявлення звичайними засобами безпеки.
Можливості та механізми збереження
PowMix розроблений як універсальний інструмент віддаленого доступу, що дозволяє зловмисникам проводити розвідку, виконувати довільний код і підтримувати довгостроковий контроль над скомпрометованими системами. Збереження активності досягається шляхом створення запланованих завдань, що гарантує, що шкідливе програмне забезпечення залишається активним після перезавантаження системи.
Для підтримки стабільності роботи шкідливе програмне забезпечення перевіряє дерево процесів, щоб запобігти одночасному запуску кількох екземплярів на одному хості.
Структура виконання команд: Гнучка архітектура керування
Ботнет підтримує дві основні категорії команд, що видаються сервером C2. Його поведінка визначається форматом відповіді сервера:
Команди без префікса '#' запускають режим довільного виконання, що спонукає шкідливе програмне забезпечення розшифрувати та виконати отримані корисні навантаження.
Спеціальні команди включають:
#KILL: Ініціює самовидалення та видаляє всі сліди шкідливої діяльності
#HOST: Оновлює адресу C2-сервера ботнету для безперервного зв'язку.
Така гнучка структура команд дозволяє операторам адаптувати поведінку шкідливого програмного забезпечення в режимі реального часу.
Рівень соціальної інженерії: Документи-приманки як відволікання уваги
Для підвищення ефективності кампанія використовує тактику соціальної інженерії. Жертвам надають документи-приманки з темами, пов’язаними з дотриманням вимог, які виглядають легітимними. Ці документи містять посилання на відомі бренди, такі як Edeka, та деталі компенсації поряд із посиланнями на законні законодавчі акти. Такі елементи мають на меті зміцнити довіру та обманом змусити цільових осіб, зокрема тих, хто шукає роботу, взаємодіяти зі шкідливим контентом.
Тактичне перекриття: посилання на кампанію ZipLine
Аналіз виявляє подібність між PowMix та раніше розкритою кампанією під назвою ZipLine, яка була спрямована на критично важливі для ланцюга поставок виробничі сектори у серпні 2025 року. Спільні тактики включають доставку корисного навантаження на основі ZIP, збереження за допомогою запланованих завдань та використання інфраструктури Heroku для операцій командування та управління.
Незважаючи на ці перекриття, жодних додаткових корисних навантажень, окрім самого ботнету PowMix, не спостерігалося. Це залишає невизначеність щодо кінцевих цілей кампанії, що свідчить про можливість появи подальших розробок або корисних навантажень вторинного етапу в майбутньому.
