PowMix殭屍網絡

殭屍網路年Mezo年

翻譯為：

網路安全研究人員發現，自2025年12月以來，捷克共和國的勞動力一直遭受惡意攻擊。這次攻擊的核心是一個名為PowMix的先前未被記錄的殭屍網路。此威脅透過避免與命令與控制（C2）基礎設施建立持續連接，而是依賴隨機通訊模式，來規避傳統的偵測機制。

PowMix 利用複雜的技術手段在網路環境中保持隱蔽。它並非與 C2 伺服器保持持續連接，而是使用 PowerShell 命令產生的隨機信標間隔。這些間隔最初在 0 到 261 秒之間，之後會延長至 1075 到 1450 秒，從而有效地擾亂可預測的網路流量模式。

此外，該殭屍網路會將加密的心跳資料和唯一的受害者識別碼直接嵌入到C2伺服器的URL路徑中，從而模擬合法的REST API流量。這種設計使得惡意軟體能夠與正常的網路通訊無縫融合。此殭屍網路還能透過其設定檔動態更新C2伺服器域名，即使基礎設施發生變化，也能確保運作的連續性。

攻擊始於惡意 ZIP 壓縮文件，通常透過釣魚郵件傳播。一旦打開，該壓縮檔案就會觸發精心策劃的多階段感染過程：

這種無檔案執行方式顯著降低了傳統安全工具偵測到的可能性。

PowMix 是一款功能強大的遠端存取工具，攻擊者可以利用它進行偵察、執行任意程式碼，並對受感染的系統保持長期控制。它透過創建定時任務來實現持久性，確保惡意軟體在系統重新啟動後仍然保持活躍狀態。

為了保持運作穩定性，該惡意軟體會驗證進程樹，以防止多個執行個體在同一台主機上同時執行。

這個殭屍網路支援從C2伺服器發出的兩類主要命令。其行為取決於伺服器回應的格式：

不含「#」前綴的命令會觸發任意執行模式，促使惡意軟體解密並執行接收到的有效載荷。

特殊指令包括：

#KILL：啟動自我刪除並清除所有惡意活動痕跡

#HOST：更新殭屍網路的 C2 伺服器位址，以便繼續通訊。

這種靈活的命令結構允許操作人員即時調整惡意軟體的行為。

為了進一步提高其效果，該活動採用了社會工程策略。受害者會收到一些看似合法的、以合規為主題的誘餌文件。這些文件會提及諸如 Edeka 等知名品牌，並包含賠償詳情以及合法的法律條文。這些手段旨在建立信任，誘使目標對象（尤其是求職者）點擊惡意內容。

分析顯示，PowMix 與先前揭露的名為 ZipLine 的攻擊活動有相似之處，後者於 2025 年 8 月針對供應鏈關鍵型製造業展開攻擊。共同的策略包括基於 ZIP 的有效載荷交付、透過規劃任務實現持久性以及使用 Heroku 基礎設施進行 C2 操作。

儘管存在這些重疊，但除 PowMix 殭屍網路本身之外，尚未發現其他有效載荷。這使得該攻擊活動的最終目標仍存在不確定性，表明未來可能會出現進一步的行動或二級有效載荷。

搜索