SOC Prime Bias: Medium

17 Apr 2026 14:34 UTC

PowMix-Botnet zielt auf tschechische Arbeitskräfte über Medienunternehmens-Köder ab

Author Photo
SOC Prime Team linkedin icon Folgen
PowMix-Botnet zielt auf tschechische Arbeitskräfte über Medienunternehmens-Köder ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Cisco Talos hat ein Botnetz namens PowMix entdeckt, das seit mindestens Dezember 2025 aktiv ist und auf Organisationen in der Tschechischen Republik abzielt. Die Infektionskette beginnt mit bösartigen LNK-Dateien, die einen PowerShell-Loader auslösen, der ein ZIP-Archiv entpackt, AMSI-Schutzmaßnahmen umgeht und die PowMix-Nutzlast direkt im Speicher startet. Einmal etabliert, bleibt die Malware durch einen geplanten Task mit einem zufällig generierten hexadezimalen Namen beständig und verwendet ein globales Mutex zur Steuerung der Ausführung. PowMix kommuniziert mit seiner Command-and-Control-Infrastruktur über zufällig generierte REST-ähnliche Pfade, die auf missbrauch herokuapp.com ten Domains gehostet werden, und unterstützt die Ausführung von Remote-Befehlen, Konfigurationsänderungen und Selbstentfernung.

Untersuchung

Talos untersuchte die vollständige auf LNK basierende Lieferkette, den PowerShell-Loader und den PowMix-Bot selbst und identifizierte bemerkenswerte Ähnlichkeiten zur früheren ZipLine-Kampagne, einschließlich der auf ZIP basierenden Bereitstellung und der Nutzung von auf Heroku gehosteter Infrastruktur für C2. Forscher dokumentierten die AMSI-Umgehungsmethode der Malware, ihre CRC32-ähnliche Bot-ID-Generierungslogik und Beaconing-Intervalle, die mit Jitter entworfen wurden, um die Erkennung zu reduzieren. Das Team extrahierte auch wichtige Indikatoren, darunter das Namensmuster des geplanten Tasks, Mutex-Konventionen und fest kodierte XOR-Schlüsselstrings, die in die Malware eingebettet sind. Die Erkennungsabdeckung wurde durch die Erstellung von ClamAV- und Snort-Signaturen weiter ausgebaut.

Minderung

Organisationen sollten strenge Kontrollen für die Ausführung von LNK-Dateien anwenden und die PowerShell-Aktivitäten überwachen, die geplante Tasks oder globale Mutexe erstellen. AMSI-Schutzmaßnahmen sollten wo möglich verstärkt werden, und die Skriptausführung sollte durch Codesignierungsanforderungen und restriktive Richtlinien geregelt werden. Sicherheitsteams sollten auch ausgehenden Datenverkehr zu verdächtigen herokuapp.com Domains blockieren oder genau untersuchen und Proxy-Authentifizierungsprotokolle für ungewöhnliche Browser-ähnliche Anfragen überprüfen, die auf PowMix-Aktivitäten hindeuten könnten. Endpunkterkennungen sollten aktualisiert werden, um die spezifischen PowerShell-Befehle und Verhaltensweisen zu identifizieren, die vom Loader verwendet werden.

Antwort

Wenn PowMix-bezogene Aktivitäten entdeckt werden, sollten Verteidiger den betroffenen Host isolieren, den bösartigen PowerShell-Prozess beenden und den geplanten Task zusammen mit allen zugehörigen Dateien entfernen, die unter ProgramData gespeichert sind. Forensische Sammlungen sollten die vollständige Ausführungskette erfassen, einschließlich Befehlszeilen-Artefakten, Mutex-Werten und alle heruntergeladenen Konfigurationsdaten. Möglicherweise exponierte Anmeldedaten sollten zurückgesetzt werden, und Proxy- und Firewall-Kontrollen sollten aktualisiert werden, um die identifizierten Command-and-Control-Domains zu blockieren. Sicherheitsteams sollten auch den Netzwerkverkehr auf Befehle wie #HOST and #KILL überwachen, relevante Stakeholder benachrichtigen und die Erkennungsinhalte aktualisieren, um die neuesten Indikatoren widerzuspiegeln.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Betreiber des PowMix-Botnetzes deaktiviert zunächst AMSI, indem er eine PowerShell-Einzeiler-Befehl ausführt, der die interne amsiInitFailed Flag auf $truesetzt. Unmittelbar danach erstellt derselbe PowerShell-Prozess ein benanntes Mutex im globalen Namensraum (GlobalBOT12345), um eine einzige laufende Instanz zu gewährleisten. Beide Aktionen werden von einer einzigen Befehlszeile aus durchgeführt, sodass Sysmon-Logs die genauen Strings erfassen, nach denen die Regel sucht.

  • Regressionstest-Skript:

    # PowMix-ähnliche AMSI-Umgehung + Erstellung eines globalen Mutex (löst die Erkennungsregel aus)
    
    $botId = "BOT12345"
    
    # 1. Setze das AMSI-Umgehungs-Flag (der buchstäbliche String erscheint in der Befehlszeile)
    # 2. Erstelle ein globales Mutex mit dem Namen "Global<BotID>"
    powershell.exe -NoProfile -Command `
        "$amsiInitFailed = $true; `
         $null = [System.Threading.Mutex]::new($true, 'Global$botId')"
  • Aufräumkommandos:

    # Es werden keine persistente Artefakte auf die Festplatte geschrieben; es existiert nur ein im Speicher befindlicher Mutex.
    # Um sicherzustellen, dass der Mutex freigegeben wird, beenden Sie alle verbliebenen PowerShell-Prozesse
    # die durch den Test gestartet wurden und führen Sie optional ein kurzes Skript aus, um ihn zu öffnen und zu schließen.
    
    Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force