SOC Prime Bias: Medio

17 Apr 2026 14:34 UTC

Il Botnet PowMix Prende di Mira la Forza Lavoro Ceca Utilizzando un Esca di un’Impresa Mediatica

Author Photo
SOC Prime Team linkedin icon Segui
Il Botnet PowMix Prende di Mira la Forza Lavoro Ceca Utilizzando un Esca di un’Impresa Mediatica
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Cisco Talos ha scoperto una botnet denominata PowMix, attiva almeno dal dicembre 2025 e mirata a organizzazioni nella Repubblica Ceca. La catena di infezione inizia con file LNK dannosi che attivano un loader PowerShell, il quale decomprime un archivio ZIP, aggira le protezioni AMSI e avvia il payload PowMix direttamente in memoria. Una volta stabilito, il malware mantiene la persistenza attraverso un’attività pianificata con un nome esadecimale casuale e utilizza un mutex globale per controllare l’esecuzione. PowMix comunica con la sua infrastruttura di comando e controllo tramite percorsi simili a REST randomizzati ospitati su herokuapp.com domini abusati e supporta l’esecuzione remota di comandi, modifiche alla configurazione e auto-rimozione.

Indagine

Talos ha esaminato l’intera catena di distribuzione basata su LNK, il loader PowerShell e il bot PowMix stesso, identificando notevoli somiglianze con la precedente campagna ZipLine, inclusi la dissimulazione del payload basata su ZIP e l’uso di infrastrutture ospitate su Heroku per il C2. I ricercatori hanno documentato il metodo di bypassare l’AMSI del malware, la logica di generazione degli ID bot in stile CRC32, e gli intervalli di beacon progettati con jitter per ridurre il rilevamento. Il team ha anche estratto indicatori chiave, incluso il modello di denominazione delle attività pianificate, le convenzioni del mutex e le stringhe chiave XOR codificate nel malware. La copertura del rilevamento è stata ulteriormente ampliata attraverso la creazione di firme ClamAV e Snort.

Mitigazione

Le organizzazioni dovrebbero applicare controlli rigorosi all’esecuzione dei file LNK e monitorare l’attività PowerShell che crea attività pianificate o mutex globali. Le protezioni AMSI dovrebbero essere rafforzate dove possibile, e l’esecuzione degli script dovrebbe essere regolata da requisiti di firma del codice e politiche restrittive. I team di sicurezza dovrebbero anche bloccare o ispezionare attentamente il traffico in uscita verso herokuapp.com domini sospetti e rivedere i log di autenticazione proxy per richieste simili a quelle dei browser che potrebbero indicare attività di PowMix. Le rilevazioni sugli endpoint dovrebbero essere aggiornate per identificare i comandi PowerShell specifici e i comportamenti utilizzati dal loader.

Risposta

Se viene rilevata un’attività correlata a PowMix, i difensori dovrebbero isolare l’host interessato, terminare il processo PowerShell dannoso e rimuovere l’attività pianificata insieme a eventuali file associati memorizzati sotto ProgramData. La raccolta forense dovrebbe catturare l’intera catena di esecuzione, inclusi artefatti della riga di comando, valori del mutex e eventuali dati di configurazione scaricati. Le credenziali potenzialmente esposte dovrebbero essere reimpostate, e i controlli proxy e firewall dovrebbero essere aggiornati per bloccare i domini di comando e controllo identificati. I team di sicurezza dovrebbero anche monitorare il traffico di rete per comandi quali #HOST and #KILL, notificare gli stakeholder pertinenti e aggiornare i contenuti di rilevamento per riflettere gli ultimi indicatori.

Flusso di Attacco

Esecuzione di Simulazione

Requisito: Il Controllo Preliminare di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un operatore della botnet PowMix disabilità innanzitutto AMSI invocando un one-liner PowerShell che imposta il amsiInitFailed flag su $true. Immediatamente dopo, lo stesso processo PowerShell crea un mutex con nome nello spazio dei nomi globale (GlobalBOT12345) per garantire un’unica istanza in esecuzione. Entrambe le azioni sono eseguite da una singola riga di comando in modo che i log Sysmon catturino le esatte stringhe che la regola cerca.

  • Script di Test di Regressione:

    # bypass AMSI simile a PowMix + creazione mutex globale (attiva la regola di rilevamento)
    
    $botId = "BOT12345"
    
    # 1. Imposta il flag di bypass AMSI (la stringa letterale appare nella riga di comando)
    # 2. Crea un mutex globale denominato "Global<BotID>"
    powershell.exe -NoProfile -Command `
        "$amsiInitFailed = $true; `
         $null = [System.Threading.Mutex]::new($true, 'Global$botId')"
  • Comandi di Pulizia:

    # Nessun artefatto persistente è scritto su disco; solo un mutex in memoria esiste.
    # Per garantire che il mutex sia rilasciato, terminare eventuali processi PowerShell rimanenti
    # avviati dal test e opzionalmente eseguire un breve script per aprirlo e chiuderlo.
    
    Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force