SOC Prime Bias: Середній

17 Apr 2026 14:34 UTC

Ботнет PowMix атакує чеських працівників через приманку медійної компанії

Author Photo
SOC Prime Team linkedin icon Стежити
Ботнет PowMix атакує чеських працівників через приманку медійної компанії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Cisco Talos виявили ботнет, відомий як PowMix, який діє щонайменше з грудня 2025 року і націлений на організації в Чехії. Ланцюг зараження починається з шкідливих LNK-файлів, які запускають завантажувач PowerShell, що розпаковує ZIP-архів, обходить захист AMSI і запускає навантаження PowMix безпосередньо в пам’ять. Як тільки він встановлюється, шкідливе програмне забезпечення зберігає стійкість через заплановане завдання з випадковим шістнадцятковим ім’ям і використовує глобальний мутекс для контролю виконання. PowMix зв’язується зі своєю командно-контрольної інфраструктурою через випадкові REST-подібні шляхи, розташовані на зловживаних herokuapp.com домени і підтримує віддалене виконання команд, зміну конфігурації та самовидалення.

Розслідування

Talos дослідили повний LNK-базований ланцюг доставки, завантажувач PowerShell і сам бот PowMix, виявивши помітні схожості з ранньою кампанією ZipLine, включаючи приховування навантаження на основі ZIP і використання інфраструктури Heroku для C2. Дослідники задокументували метод обходу AMSI, логіку генерації ідентифікатора бота в стилі CRC32 та інтервали маячення, розроблені з урахуванням коливань для зменшення виявлення. Команда також виділила ключові індикатори, включаючи шаблон іменування запланованих завдань, конвенції мутексу і жорстко закодовані рядки ключів XOR, вбудовані в шкідливе програмне забезпечення. Охоплення виявлення було розширено за рахунок створення сигнатур ClamAV та Snort.

Пом’якшення

Організації повинні застосовувати жорсткий контроль до виконання LNK-файлів і стежити за активністю PowerShell, що створює заплановані завдання або глобальні мутекси. Захисти AMSI мають бути посилені де можливо, а виконання скриптів контролюватися вимогами до підписання коду та обмежувальними політиками. Команди безпеки повинні також блокувати або ретельно перевіряти вихідний трафік на підозрілі herokuapp.com домени і переглядати журнали автентифікації проксі для незвичних запитів, схожих на браузерні, що можуть вказувати на активність PowMix. Виявлення на кінцевих точках мають бути оновлені для ідентифікації конкретних команд PowerShell та поведінки завантажувача.

Реакція

Якщо виявлено активність, пов’язану з PowMix, захисники повинні ізолювати уражений хост, завершити шкідливий процес PowerShell і видалити заплановане завдання разом з будь-якими пов’язаними файлами, збереженими у ProgramData. Судова колекція повинна охоплювати весь ланцюг виконання, включаючи артефакти командного рядка, значення мутексів і будь-які завантажені конфігураційні дані. Потенційно викриті облікові дані слід скинути, а контрольні заходи проксі і брандмауера оновити для блокування ідентифікованих доменів командно-контрольного центру. Команди безпеки повинні також моніторити мережевий трафік на команди, такі як #HOST and #KILL, повідомити відповідних зацікавлених сторін і оновити контент виявлення для відображення останніх індикаторів.

Потік Атаки

Виявлення

Можливий Шкідливий LNK Файл з Подвійним Розширенням (через cmdline)

Команда SOC Prime
16 квітня 2026

Можливе Виконання через Активність Запланованих Завдань з PowerShell (через powershell)

Команда SOC Prime
16 квітня 2026

Виклик Підозрілих Методів .NET з Powershell (через powershell)

Команда SOC Prime
16 квітня 2026

Виклик Підозрілих Функцій .NET з Powershell (через powershell)

Команда SOC Prime
16 квітня 2026

Підозрілий Зв’язок з Доміном Herokuapp (через проксі)

Команда SOC Prime
16 квітня 2026

Підозрілий Зв’язок з Доміном Herokuapp (через DNS)

Команда SOC Prime
16 квітня 2026

Виявлення PowerShell Invoke-Expression та Конструкції Динамічних Команд [Windows Powershell]

Правила SOC Prime AI
16 квітня 2026

Виявлення Випадкових Інтервалів Маячення та Iмітації REST API Викликів Ботнетом PowMix [Windows Network Connection]

Правила SOC Prime AI
16 квітня 2026

Виявлення Обходу AMSI та Створення Мутексів Ботнетом PowMix [Windows Sysmon]

Правила SOC Prime AI
16 квітня 2026

Виконання Завантажувача PowerShell Ботнета PowMix [Windows Process Creation]

Правила SOC Prime AI
16 квітня 2026

Симуляція Виконання

Попередня умова: Перевірка попереднього завантаження телеметрії та базового рівня повинна бути пройдена.

Обґрунтування: Цей розділ описує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTPs та прагнути генерувати саме ту телеметрію, на яку орієнтовано логіку виявлення.

  • Опис Атаки та Команди:
    Оператор ботнета PowMix спочатку відключає AMSI за допомогою виклику PowerShell one-liner, що встановлює внутрішній amsiInitFailed прапор до $true. Негайно після цього той самий процес PowerShell створює іменований мутекс у глобальному просторі (GlobalBOT12345) для гарантування єдиного працюючого екземпляра. Обидві дії виконуються з одного командного рядка, щоб логи Sysmon захопили точні рядки, на які орієнтовано правило.

  • Сценарій регресивного тесту:

    # Обхід AMSI, схожий на PowMix + створення глобального мутексу (запускає правило виявлення)
    
    $botId = "BOT12345"
    
    # 1. Встановлення прапора обходу AMSI (буквальний рядок з'являється в командному рядку)
    # 2. Створити глобальний мутекс з іменем "Global<BotID>"
    powershell.exe -NoProfile -Command `
        "$amsiInitFailed = $true; `
         $null = [System.Threading.Mutex]::new($true, 'Global$botId')"
  • Команди очищення:

    # Жодні стійкі артефакти не записуються на диск; існує лише мутекс у пам'яті.
    # Щоб звільнити мутекс, завершіть будь-які залишкові процеси PowerShell
    # запущені тестом і за бажанням виконайте короткий скрипт для відкриття та закриття.
    
    Get-Process -Name powershell | Where-Object { $_.StartInfo.Arguments -match 'GlobalBOT12345' } | Stop-Process -Force