フォローする 
概要
Cisco Talosは、少なくとも2025年12月から活動しているPowMixとして追跡されるボットネットを発見しました。これはチェコ共和国の組織を標的にしています。感染の連鎖は悪意のあるLNKファイルから始まり、PowerShellローダーをトリガーし、ZIPアーカイブを展開し、AMSI保護を回避し、PowMixペイロードをメモリ内で直接起動します。設置されると、マルウェアはランダム化された16進数名のスケジュールタスクを通じて永続性を保持し、グローバルミューテックスを使用して実行を制御します。PowMixは、悪用された herokuapp.com ドメインでホストされるランダム化されたRESTのようなパスを通じて、コマンド&コントロールインフラストラクチャと通信し、リモートコマンドの実行、設定変更、自己削除をサポートします。
調査
Talosは、LNKを基にした完全な配信チェーン、PowerShellローダー、およびPowMixボット自体を調査し、先行するZipLineキャンペーンとの顕著な類似点を特定しました。これには、ZIPを基にしたペイロードの隠蔽や、HerokuホストのインフラストラクチャをC2に使用する方法が含まれます。研究者たちは、マルウェアのAMSIバイパス手法、そのCRC32スタイルのボットID生成ロジック、および検出を減らすためにジッタを持たせたビーコン間隔を記録しました。チームはまた、スケジュールタスクの命名パターン、ミューテックスの慣習、マルウェアに埋め込まれたハードコードされたXORキー文字列を抽出しました。ClamAVおよびSnort署名の作成を通じて検出範囲がさらに拡大されました。
緩和策
組織は、LNKファイルの実行に対して厳しい制御を適用し、スケジュールタスクやグローバルミューテックスを作成するPowerShell活動を監視するべきです。AMSIの保護はできる限り強化されるべきであり、スクリプトの実行はコード署名の要件や制限的なポリシーによって管理する必要があります。セキュリティチームは、不審な herokuapp.com ドメインへのアウトバウンドトラフィックをブロックまたは厳密に検査し、PowMix活動を示唆するブラウザのような異常な要求をプロキシ認証ログで確認する必要があります。エンドポイント検出は、ローダーが使用する特定のPowerShellコマンドや動作を特定するために更新されるべきです。
対応
PowMix関連の活動が検出された場合、防御者は影響を受けるホストを隔離し、悪意のあるPowerShellプロセスを終了させ、スケジュールタスクとその関連ファイルを ProgramData以下から削除してください。フォレンジックコレクションは、実行チェーン全体、コマンドラインアーティファクト、ミューテックス値、およびダウンロードされた設定データをキャプチャする必要があります。潜在的に漏洩した認証情報はリセットされるべきであり、コマンド&コントロールドメインをブロックするためにプロキシおよびファイアウォールの制御は更新されるべきです。セキュリティチームは、 #HOST and #KILLなどのコマンドについてネットワークトラフィックを監視し、関連するステークホルダーに通知し、最新の指標を反映するように検出コンテンツを更新する必要があります。
graph TB classDef action fill:#99ccff classDef technique fill:#ffff99 classDef process fill:#ffcc99 classDef malware fill:#ff9999 classDef artifact fill:#e0e0e0 classDef persistence fill:#b3ffb3 classDef c2 fill:#d9b3ff classDef command fill:#ffd9b3 attack_phishing[“<b>アクション</b> – T1566.001 フィッシング: 標的型添付ZIP<br/>ZIPファイルを含むメール”] class attack_phishing action file_zip[“<b>アーティファクト</b> – 悪意あるZIP<br/>LNKを含む”] class file_zip artifact file_lnk[“<b>アーティファクト</b> – 悪意あるショートカット (.lnk)<br/>T1027.012 LNK Icon Smuggling”] class file_lnk artifact process_powershell[“<b>プロセス</b> – PowerShell loader<br/>T1059.001 実行”] class process_powershell process tech_amsi_bypass[“<b>技術</b> – AMSIバイパス”] class tech_amsi_bypass technique tech_compression[“<b>技術</b> – T1027.015 圧縮”] class tech_compression technique tech_xor[“<b>技術</b> – T1001 XOR難読化”] class tech_xor technique malware_powmix[“<b>マルウェア</b> – PowMix”] class malware_powmix malware tech_botid[“<b>技術</b> – Bot ID生成”] class tech_botid technique persistence_task[“<b>永続化</b> – スケジュールタスク”] class persistence_task persistence tech_shortcut_mod[“<b>技術</b> – T1547.009 ショートカット改変”] class tech_shortcut_mod technique tech_screensaver[“<b>技術</b> – T1546.002 スクリーンセーバー”] class tech_screensaver technique c2_communication[“<b>C2通信</b> – HTTPS GET”] class c2_communication c2 command_host[“<b>コマンド</b> – #HOST”] class command_host command command_kill[“<b>コマンド</b> – #KILL”] class command_kill command tech_indicator_removal[“<b>技術</b> – T1027.005 インジケータ削除”] class tech_indicator_removal technique tech_hide_artifacts[“<b>技術</b> – T1564.011 アーティファクト隠蔽”] class tech_hide_artifacts technique attack_phishing –>|配布| file_zip file_zip –>|含む| file_lnk file_lnk –>|実行| process_powershell process_powershell –>|使用| tech_amsi_bypass process_powershell –>|使用| tech_compression process_powershell –>|使用| tech_xor process_powershell –>|読み込み| malware_powmix malware_powmix –>|生成| tech_botid malware_powmix –>|作成| persistence_task persistence_task –>|使用| tech_shortcut_mod persistence_task –>|スケジュール| tech_screensaver malware_powmix –>|通信| c2_communication c2_communication –>|送信| command_host c2_communication –>|送信| command_kill command_kill –>|適用| tech_indicator_removal command_kill –>|適用| tech_hide_artifacts
攻撃の流れ
検出
二重拡張子を持つ悪意のあるLNKファイルの可能性(コマンドライン経由)
表示
スケジュールタスク活動によるPowerShellの実行の可能性(powershell経由)
表示
PowerShellからの不審な.NETメソッド呼び出し(powershell経由)
表示
PowerShellからの不審なWindows API機能呼び出し(powershell経由)
表示
不審なHerokuappドメイン通信(プロキシ経由)
表示
不審なHerokuappドメイン通信(dns経由)
表示
PowerShellのInvoke-Expressionや動的コマンド構築の検出 [Windows Powershell]
表示
PowMixボットネットによるランダム化されたC2ビーコニング間隔とREST API呼び出し模倣の検出 [Windowsネットワーク接続]
表示
PowMixボットネットAMSIバイパスとミューテックス作成の検出 [Windows Sysmon]
表示
PowMixボットネットPowerShellローダー実行 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリー&ベースライン事前フライトチェックが通過している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術技法(TTP)の正確な実行を詳述します。コマンドおよび説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の記述およびコマンド:
PowMixボットネットのオペレーターはまず、PowerShellのワンライナーを呼び出すことによってAMSIを無効化し、内部のamsiInitFailedフラグを$trueに設定します。すぐ後に、同じPowerShellプロセスはグローバル名前空間で命名されたミューテックス(GlobalBOT12345)を作成して単一の実行インスタンスを保証します。これらのアクションは全て1つのコマンドラインから実行されるため、Sysmonはルールが探している正確な文字列をキャプチャします。 -
回帰テストスクリプト:
# PowMixに似たAMSIバイパス+グローバルミューテックス作成(検出ルールをトリガー) $botId = "BOT12345" # 1. AMSIバイパスフラグを設定する(リテラルな文字列がコマンドラインに現れる) # 2. 名称されたグローバルミューテックス「Global」を作成する powershell.exe -NoProfile -Command ` "$amsiInitFailed = $true; ` $null = [System.Threading.Mutex]::new($true, 'Global$botId')" -
クリーンアップコマンド:
# ディスクに永続的なアーティファクトは書き込まれません。メモリ内のミューテックスのみが存在します。 # テストで起動した残存PowerShellプロセスを終了することで、ミューテックスが開放されることを保証します。 # または、開いて閉じる短いスクリプトを実行することもできます。 Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force