殭屍網路PowMix鎖定捷克企業與求職者發動攻擊，採用隨機C2通訊匿蹤

思科威脅情報團隊Talos揭露殭屍網路PowMix的攻擊活動，駭客冒充連鎖超市Edeka，利用捷克資料保護法或其他監管框架為誘餌，疑似鎖定捷克企業的人力資源（HR）、法務、員工招募部門，此外，為了降低使用者警覺，駭客也會搭配薪酬資料與合規參考資料，以提升誘餌檔案的真實感。值得留意的是，也有多個產業的求職者遭到攻擊，涵蓋IT、金融、物流領域。

PowMix最特別的地方，在於採用了隨機的C2連線，由於Beacon並未持續與C2伺服器連線，而難以透過特徵碼進行偵測，而且，該殭屍網路具備遠端更新C2網域的機制，代表攻擊者能輕易更換C2控制來源。根據駭客使用ZIP檔傳遞有效酬載、利用Windows工作排程於受害電腦持續活動，以及採用雲端平臺即服務（PaaS）Heroku充當C2，Talos指出，PowMix活動採用的戰術，與Check Point去年8月揭露的ZipLine攻擊活動有共通之處。

針對駭客散布PowMix的過程，從收信人打開釣魚郵件的ZIP檔附件開始，此檔案內含惡意Windows捷徑檔（LNK），一旦收信人執行，電腦就會執行PowerShell惡意程式載入工具指令碼，然後載入惡意ZIP檔並解壓縮，於記憶體內執行殭屍網路PowMix有效酬載，並與C2進行通訊。

為了迴避偵測，駭客的惡意程式載入工具導入了防惡意軟體掃描介面（AMSI）繞過機制，欺騙Windows安全性子系統AMSI未初始化，使該系統停用指令碼的即時掃描功能，讓指令碼能執行其中的惡意內容，且不會被Microsoft Defender或其他EDR系統察覺有異，最終於受害電腦植入PowMix。

PowMix可提供哪些功能？駭客用於遠端存取、偵察、執行任意程式碼，並在受害電腦加入每天上午11時啟動的工作排程，以便該殭屍網路能持續活動。此殭屍網路進行C2通訊的方式，是將機器人識別編號（Bot ID）、心跳資料、使用隨機字串嵌入的URL，並偽裝成合法的REST API進行呼叫。