PuzzleMaker عصابة جرائم الإنترنت

اكتشف باحثو إنفوسيك موجة جديدة من الهجمات شديدة الاستهداف. لم تتطابق خصائص العملية مع أي من التكتيكات والتقنيات والإجراءات الخاصة بمجموعات الجرائم الإلكترونية القائمة بالفعل. أدى عدم وجود تداخل مع حملات الهجوم السابقة إلى أن ينسب الباحثون الهجوم الملحوظ إلى عامل تهديد تم تعيينه حديثًا أطلقوا عليه اسم PuzzleMaker.

ناقل التسوية الأولي

كشف التحليل أن المتسللين PuzzleMaker اعتمدوا على ثغرات يوم الصفر الموجودة في Google Chrome و Microsoft Windows. لا يمكن تحديد ثغرات Chrome الدقيقة ولكن الأدلة الظرفية تشير إلى الثغرة الأمنية CVE-2021-21224 التي يمكن أن تؤثر على إصدار Chrome 90.0.4420.72. تم إصلاح هذا الاستغلال الخاص بواسطة Google في 20 أبريل 2021.

ومع ذلك ، تم تحديد نقطتي ضعف Windows المستخدمين في هجوم PuzzleMaker وتم تخصيص التعيينات CVE-2021-31955 و CVE-2021-31956. تم تصحيح كلا الثغرات بواسطة Microsoft في 8 يونيو 2021.

تعد CVE-2021-31955 ثغرة أمنية في الكشف عن المعلومات في ntoskrnl.exe. إنه مرتبط بميزة تسمى SuperFetch تم تقديمها مع Windows Vista. تم تصميم SuperFetch لتقليل أوقات التحميل على أنظمة Windows عن طريق التحميل المسبق لبعض التطبيقات المستخدمة بشكل متكرر في الذاكرة. يوصف CVE-2021-31956 بأنه تجاوز سعة المخزن المؤقت المستند إلى الكومة في ntfs.sys.

برنامج PuzzleMaker الخبيث

بعد إنشاء موطئ قدم في النظام المستهدف ، شرعت عصابة PuzzleMaker في إسقاط أربع وحدات للبرامج الضارة ، كل منها مسؤول عن مرحلة منفصلة في سلسلة الهجوم. أولاً ، تؤكد وحدة stager نجاح الاختراق وتخطر المتسللين. ثم يقوم بجلب وحدة قطارة أكثر تطوراً ومرحلة تالية من خادم بعيد. يبدو أن وحدة stager التي تم إسقاطها على كل ضحية تحتوي على blob تكوين مخصص يحدد عنوان URL لخادم الأوامر والتحكم ومعرف الجلسة والمفاتيح اللازمة لفك تشفير وحدة البرامج الضارة التالية.

تقوم وحدة القطارة بتنزيل ملفين قابلين للتنفيذ في المجلد٪ SYSTEM٪ بالجهاز المخترق. تم تسجيل WmiPrvMon.exe كخدمة ويعمل كمشغل للملف الآخر ، والذي يُعتقد أنه الحمولة الرئيسية للهجوم. يتم تسليمه كملف يسمى wmimon.dll وهو قادر على إنشاء غلاف بعيد.

تحتوي القشرة على عنوان URL مشفر يستخدم للوصول إلى خادم القيادة والتحكم وكل حركة المرور بين الخادم والبرامج الضارة مرخصة ومشفرة. من خلال الغلاف البعيد ، يمكن لعصابة PuzzleMaker معالجة العمليات على النظام المصاب ، وإجباره على الدخول في وضع السكون ، وتقديم ملفات إضافية أو اختراق البيانات المختارة ، وكذلك الأمر بالبرامج الضارة لحذف نفسها.