Банда за киберпрестъпления на PuzzleMaker
Нова вълна от силно насочени атаки беше открита от изследователи на infosec. Характеристиките на операцията не отговарят на нито един от TTPs (Тактики, Техники и Процедури) на вече установените групи за киберпрестъпления. Липсата на припокриване с предишни кампании за атаки накара изследователите да припишат наблюдаваната атака на новоназначен заплаха, който те нарекоха PuzzleMaker.
Първоначално компромисен вектор
Анализът разкри, че хакерите на PuzzleMaker са разчитали на уязвимости от нулев ден, открити в Google Chrome и Microsoft Windows. Точните експлойти на Chrome не могат да бъдат определени, но косвени доказателства сочат към уязвимостта CVE-2021-21224, която може да повлияе на компилацията на Chrome 90.0.4420.72. Този конкретен експлойт беше коригиран от Google на 20 април 2021 г.
Въпреки това, двете уязвимости на Windows, използвани в атаката на PuzzleMaker, бяха идентифицирани и им бяха присвоени обозначенията CVE-2021-31955 и CVE-2021-31956. И двата експлойта бяха коригирани от Microsoft на 8 юни 2021 г.
CVE-2021-31955 е уязвимост при разкриване на информация в ntoskrnl.exe. Това е свързано с функция, наречена SuperFetch, която беше въведена с Windows Vista. SuperFetch е проектиран да намали времето за зареждане на Windows системи чрез предварително зареждане на някои често използвани приложения в паметта. CVE-2021-31956 е описан като препълване на буфер, базиран на heap, в ntfs.sys.
Зловредният софтуер PuzzleMaker
След като установи опора в целевата система, бандата PuzzleMaker продължава да пуска четири модула за злонамерен софтуер, всеки отговорен за отделен етап от веригата на атака. Първо, модулът stager потвърждава успешното нарушение и уведомява хакерите. След това извлича по-усъвършенстван, следващ етап капкомер модул от отдалечен сървър. Изглежда, че модулът stager, пуснат на всяка жертва, съдържа персонализирано конфигурационно петно, което определя URL адреса на сървъра за командване и управление, идентификатора на сесията и ключовете, необходими за декриптиране на следващия модул за злонамерен софтуер.
Модулът капкомер изтегля два изпълними файла в папката %SYSTEM% на компрометираната машина. WmiPrvMon.exe е регистриран като услуга и функционира като стартер за другия файл, за който се смята, че е основният полезен товар на атаката. Той се доставя като файл с име wmimon.dll и е в състояние да установи отдалечена обвивка.
Обвивката съдържа твърдо кодиран URL адрес, използван за достигане до C&C сървъра и целият трафик между сървъра и злонамерения софтуер е оторизиран и криптиран. Чрез отдалечената обвивка групата PuzzleMaker може да манипулира процесите в заразената система, да я принуди да влезе в режим на заспиване, да доставя допълнителни файлове или да ексфилтрира избрани данни, както и да командва злонамерения софтуер да се изтрие.
