PowMix ボットネットがメディア企業を餌にチェコの労働力を狙う
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Cisco Talosは、少なくとも2025年12月から活動しているPowMixとして追跡されるボットネットを発見しました。これはチェコ共和国の組織を標的にしています。感染の連鎖は悪意のあるLNKファイルから始まり、PowerShellローダーをトリガーし、ZIPアーカイブを展開し、AMSI保護を回避し、PowMixペイロードをメモリ内で直接起動します。設置されると、マルウェアはランダム化された16進数名のスケジュールタスクを通じて永続性を保持し、グローバルミューテックスを使用して実行を制御します。PowMixは、悪用された herokuapp.com ドメインでホストされるランダム化されたRESTのようなパスを通じて、コマンド&コントロールインフラストラクチャと通信し、リモートコマンドの実行、設定変更、自己削除をサポートします。
調査
Talosは、LNKを基にした完全な配信チェーン、PowerShellローダー、およびPowMixボット自体を調査し、先行するZipLineキャンペーンとの顕著な類似点を特定しました。これには、ZIPを基にしたペイロードの隠蔽や、HerokuホストのインフラストラクチャをC2に使用する方法が含まれます。研究者たちは、マルウェアのAMSIバイパス手法、そのCRC32スタイルのボットID生成ロジック、および検出を減らすためにジッタを持たせたビーコン間隔を記録しました。チームはまた、スケジュールタスクの命名パターン、ミューテックスの慣習、マルウェアに埋め込まれたハードコードされたXORキー文字列を抽出しました。ClamAVおよびSnort署名の作成を通じて検出範囲がさらに拡大されました。
緩和策
組織は、LNKファイルの実行に対して厳しい制御を適用し、スケジュールタスクやグローバルミューテックスを作成するPowerShell活動を監視するべきです。AMSIの保護はできる限り強化されるべきであり、スクリプトの実行はコード署名の要件や制限的なポリシーによって管理する必要があります。セキュリティチームは、不審な herokuapp.com ドメインへのアウトバウンドトラフィックをブロックまたは厳密に検査し、PowMix活動を示唆するブラウザのような異常な要求をプロキシ認証ログで確認する必要があります。エンドポイント検出は、ローダーが使用する特定のPowerShellコマンドや動作を特定するために更新されるべきです。
対応
PowMix関連の活動が検出された場合、防御者は影響を受けるホストを隔離し、悪意のあるPowerShellプロセスを終了させ、スケジュールタスクとその関連ファイルを ProgramData以下から削除してください。フォレンジックコレクションは、実行チェーン全体、コマンドラインアーティファクト、ミューテックス値、およびダウンロードされた設定データをキャプチャする必要があります。潜在的に漏洩した認証情報はリセットされるべきであり、コマンド&コントロールドメインをブロックするためにプロキシおよびファイアウォールの制御は更新されるべきです。セキュリティチームは、 #HOST and #KILLなどのコマンドについてネットワークトラフィックを監視し、関連するステークホルダーに通知し、最新の指標を反映するように検出コンテンツを更新する必要があります。
攻撃の流れ
検出
二重拡張子を持つ悪意のあるLNKファイルの可能性(コマンドライン経由)
表示
スケジュールタスク活動によるPowerShellの実行の可能性(powershell経由)
表示
PowerShellからの不審な.NETメソッド呼び出し(powershell経由)
表示
PowerShellからの不審なWindows API機能呼び出し(powershell経由)
表示
不審なHerokuappドメイン通信(プロキシ経由)
表示
不審なHerokuappドメイン通信(dns経由)
表示
PowerShellのInvoke-Expressionや動的コマンド構築の検出 [Windows Powershell]
表示
PowMixボットネットによるランダム化されたC2ビーコニング間隔とREST API呼び出し模倣の検出 [Windowsネットワーク接続]
表示
PowMixボットネットAMSIバイパスとミューテックス作成の検出 [Windows Sysmon]
表示
PowMixボットネットPowerShellローダー実行 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリー&ベースライン事前フライトチェックが通過している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術技法(TTP)の正確な実行を詳述します。コマンドおよび説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の記述およびコマンド:
PowMixボットネットのオペレーターはまず、PowerShellのワンライナーを呼び出すことによってAMSIを無効化し、内部のamsiInitFailedフラグを$trueに設定します。すぐ後に、同じPowerShellプロセスはグローバル名前空間で命名されたミューテックス(GlobalBOT12345)を作成して単一の実行インスタンスを保証します。これらのアクションは全て1つのコマンドラインから実行されるため、Sysmonはルールが探している正確な文字列をキャプチャします。 -
回帰テストスクリプト:
# PowMixに似たAMSIバイパス+グローバルミューテックス作成(検出ルールをトリガー) $botId = "BOT12345" # 1. AMSIバイパスフラグを設定する(リテラルな文字列がコマンドラインに現れる) # 2. 名称されたグローバルミューテックス「Global」を作成する powershell.exe -NoProfile -Command ` "$amsiInitFailed = $true; ` $null = [System.Threading.Mutex]::new($true, 'Global$botId')" -
クリーンアップコマンド:
# ディスクに永続的なアーティファクトは書き込まれません。メモリ内のミューテックスのみが存在します。 # テストで起動した残存PowerShellプロセスを終了することで、ミューテックスが開放されることを保証します。 # または、開いて閉じる短いスクリプトを実行することもできます。 Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force