PowMix-Botnet zielt auf tschechische Arbeitskräfte über Medienunternehmens-Köder ab

SOC Prime Team

Folgen

PowMix-Botnet zielt auf tschechische Arbeitskräfte über Medienunternehmens-Köder ab

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Cisco Talos hat ein Botnetz namens PowMix entdeckt, das seit mindestens Dezember 2025 aktiv ist und auf Organisationen in der Tschechischen Republik abzielt. Die Infektionskette beginnt mit bösartigen LNK-Dateien, die einen PowerShell-Loader auslösen, der ein ZIP-Archiv entpackt, AMSI-Schutzmaßnahmen umgeht und die PowMix-Nutzlast direkt im Speicher startet. Einmal etabliert, bleibt die Malware durch einen geplanten Task mit einem zufällig generierten hexadezimalen Namen beständig und verwendet ein globales Mutex zur Steuerung der Ausführung. PowMix kommuniziert mit seiner Command-and-Control-Infrastruktur über zufällig generierte REST-ähnliche Pfade, die auf missbrauch herokuapp.com ten Domains gehostet werden, und unterstützt die Ausführung von Remote-Befehlen, Konfigurationsänderungen und Selbstentfernung.

Untersuchung

Talos untersuchte die vollständige auf LNK basierende Lieferkette, den PowerShell-Loader und den PowMix-Bot selbst und identifizierte bemerkenswerte Ähnlichkeiten zur früheren ZipLine-Kampagne, einschließlich der auf ZIP basierenden Bereitstellung und der Nutzung von auf Heroku gehosteter Infrastruktur für C2. Forscher dokumentierten die AMSI-Umgehungsmethode der Malware, ihre CRC32-ähnliche Bot-ID-Generierungslogik und Beaconing-Intervalle, die mit Jitter entworfen wurden, um die Erkennung zu reduzieren. Das Team extrahierte auch wichtige Indikatoren, darunter das Namensmuster des geplanten Tasks, Mutex-Konventionen und fest kodierte XOR-Schlüsselstrings, die in die Malware eingebettet sind. Die Erkennungsabdeckung wurde durch die Erstellung von ClamAV- und Snort-Signaturen weiter ausgebaut.

Minderung

Organisationen sollten strenge Kontrollen für die Ausführung von LNK-Dateien anwenden und die PowerShell-Aktivitäten überwachen, die geplante Tasks oder globale Mutexe erstellen. AMSI-Schutzmaßnahmen sollten wo möglich verstärkt werden, und die Skriptausführung sollte durch Codesignierungsanforderungen und restriktive Richtlinien geregelt werden. Sicherheitsteams sollten auch ausgehenden Datenverkehr zu verdächtigen herokuapp.com Domains blockieren oder genau untersuchen und Proxy-Authentifizierungsprotokolle für ungewöhnliche Browser-ähnliche Anfragen überprüfen, die auf PowMix-Aktivitäten hindeuten könnten. Endpunkterkennungen sollten aktualisiert werden, um die spezifischen PowerShell-Befehle und Verhaltensweisen zu identifizieren, die vom Loader verwendet werden.

Antwort

Wenn PowMix-bezogene Aktivitäten entdeckt werden, sollten Verteidiger den betroffenen Host isolieren, den bösartigen PowerShell-Prozess beenden und den geplanten Task zusammen mit allen zugehörigen Dateien entfernen, die unter ProgramData gespeichert sind. Forensische Sammlungen sollten die vollständige Ausführungskette erfassen, einschließlich Befehlszeilen-Artefakten, Mutex-Werten und alle heruntergeladenen Konfigurationsdaten. Möglicherweise exponierte Anmeldedaten sollten zurückgesetzt werden, und Proxy- und Firewall-Kontrollen sollten aktualisiert werden, um die identifizierten Command-and-Control-Domains zu blockieren. Sicherheitsteams sollten auch den Netzwerkverkehr auf Befehle wie #HOST and #KILL überwachen, relevante Stakeholder benachrichtigen und die Erkennungsinhalte aktualisieren, um die neuesten Indikatoren widerzuspiegeln.

graph TB classDef action fill:#99ccff classDef technique fill:#ffff99 classDef process fill:#ffcc99 classDef malware fill:#ff9999 classDef artifact fill:#e0e0e0 classDef persistence fill:#b3ffb3 classDef c2 fill:#d9b3ff classDef command fill:#ffd9b3 attack_phishing[„Aktion – T1566.001 Phishing: Spearphishing-ZIP Opfer erhält ZIP-Datei“] class attack_phishing action file_zip[„Artefakt – Maliziöses ZIP Enthält LNK“] class file_zip artifact file_lnk[„Artefakt – Maliziöser Shortcut (.lnk) T1027.012 LNK Icon Smuggling“] class file_lnk artifact process_powershell[„Prozess – PowerShell Loader T1059.001 Ausführung“] class process_powershell process tech_amsi_bypass[„Technik – AMSI-Bypass“] class tech_amsi_bypass technique tech_compression[„Technik – T1027.015 Kompression“] class tech_compression technique tech_xor[„Technik – T1001 XOR-Obfuskation“] class tech_xor technique malware_powmix[„Malware – PowMix“] class malware_powmix malware tech_botid[„Technik – Bot-ID-Erzeugung“] class tech_botid technique persistence_task[„Persistenz – Geplante Aufgabe“] class persistence_task persistence tech_shortcut_mod[„Technik – T1547.009 Shortcut-Modifikation“] class tech_shortcut_mod technique tech_screensaver[„Technik – T1546.002 Bildschirmschoner“] class tech_screensaver technique c2_communication[„C2-Kommunikation – HTTPS GET“] class c2_communication c2 command_host[„Befehl – #HOST“] class command_host command command_kill[„Befehl – #KILL“] class command_kill command tech_indicator_removal[„Technik – T1027.005 Entfernen von Indikatoren“] class tech_indicator_removal technique tech_hide_artifacts[„Technik – T1564.011 Artefakte verbergen“] class tech_hide_artifacts technique attack_phishing –>|liefert| file_zip file_zip –>|enthält| file_lnk file_lnk –>|startet| process_powershell process_powershell –>|nutzt| tech_amsi_bypass process_powershell –>|nutzt| tech_compression process_powershell –>|nutzt| tech_xor process_powershell –>|lädt| malware_powmix malware_powmix –>|erzeugt| tech_botid malware_powmix –>|erstellt| persistence_task persistence_task –>|nutzt| tech_shortcut_mod persistence_task –>|geplant bei| tech_screensaver malware_powmix –>|kommuniziert mit| c2_communication c2_communication –>|sendet| command_host c2_communication –>|sendet| command_kill command_kill –>|wendet an| tech_indicator_removal command_kill –>|wendet an| tech_hide_artifacts

Angriffsfluss

Angriffserzählung & Befehle:
Ein Betreiber des PowMix-Botnetzes deaktiviert zunächst AMSI, indem er eine PowerShell-Einzeiler-Befehl ausführt, der die interne amsiInitFailed Flag auf $truesetzt. Unmittelbar danach erstellt derselbe PowerShell-Prozess ein benanntes Mutex im globalen Namensraum (GlobalBOT12345), um eine einzige laufende Instanz zu gewährleisten. Beide Aktionen werden von einer einzigen Befehlszeile aus durchgeführt, sodass Sysmon-Logs die genauen Strings erfassen, nach denen die Regel sucht.

Regressionstest-Skript:

# PowMix-ähnliche AMSI-Umgehung + Erstellung eines globalen Mutex (löst die Erkennungsregel aus)

$botId = "BOT12345"

# 1. Setze das AMSI-Umgehungs-Flag (der buchstäbliche String erscheint in der Befehlszeile)
# 2. Erstelle ein globales Mutex mit dem Namen "Global<BotID>"
powershell.exe -NoProfile -Command `
    "$amsiInitFailed = $true; `
     $null = [System.Threading.Mutex]::new($true, 'Global$botId')"

Aufräumkommandos:

# Es werden keine persistente Artefakte auf die Festplatte geschrieben; es existiert nur ein im Speicher befindlicher Mutex.
# Um sicherzustellen, dass der Mutex freigegeben wird, beenden Sie alle verbliebenen PowerShell-Prozesse
# die durch den Test gestartet wurden und führen Sie optional ein kurzes Skript aus, um ihn zu öffnen und zu schließen.

Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten