Llicències per a diversos dispositius (descomptes per volum)
Threat Database Advanced Persistent Threat (APT) Colla de cibercrims de PuzzleMaker

Colla de cibercrims de PuzzleMaker

El Mezo el Advanced Persistent Threat (APT)
Traduir a:
Català

Els investigadors d'infosec van detectar una nova onada d'atacs molt dirigits. Les característiques de l'operació no coincideixen amb cap de les TTP (Tàctiques, Tècniques i Procediments) dels grups de ciberdelinqüència ja establerts. La manca de superposició amb les campanyes d'atac anteriors va portar els investigadors a atribuir l'atac observat a un actor d'amenaça recentment designat que van anomenar PuzzleMaker.

Vector de compromís inicial

L'anàlisi va revelar que els pirates informàtics de PuzzleMaker es basaven en les vulnerabilitats de dia zero trobades a Google Chrome i Microsoft Windows. No s'han pogut identificar exactament els exploits de Chrome, però les proves circumstancials apunten a la vulnerabilitat CVE-2021-21224 que podria afectar la compilació de Chrome 90.0.4420.72. Aquest exploit en particular va ser solucionat per Google el 20 d'abril de 2021.

Tanmateix, es van identificar les dues vulnerabilitats de Windows emprades en l'atac de PuzzleMaker i se'ls va assignar les designacions CVE-2021-31955 i CVE-2021-31956. Ambdós exploits van ser pegats per Microsoft el 8 de juny de 2021.

CVE-2021-31955 és una vulnerabilitat de divulgació d'informació a ntoskrnl.exe. Està relacionat amb una característica anomenada SuperFetch que es va introduir amb Windows Vista. SuperFetch va ser dissenyat per reduir els temps de càrrega als sistemes Windows carregant prèviament certes aplicacions d'ús freqüent a la memòria. CVE-2021-31956 es descriu com un desbordament de memòria intermèdia basat en un munt a ntfs.sys.

El programari maliciós PuzzleMaker

Després d'establir un punt de suport al sistema objectiu, la colla de PuzzleMaker procedeix a deixar anar quatre mòduls de programari maliciós, cadascun responsable d'una etapa independent de la cadena d'atac. En primer lloc, un mòdul de fase confirma l'incompliment satisfactori i notifica als pirates informàtics. A continuació, obté un mòdul de comptagot més sofisticat i de la següent etapa des d'un servidor remot. Sembla que el mòdul stager deixat caure a cada víctima conté un blob de configuració personalitzat que determina l'URL del servidor d'ordres i control, l'identificador de sessió i les claus necessàries per desxifrar el següent mòdul de programari maliciós.

El mòdul dropper baixa dos fitxers executables a la carpeta %SYSTEM% de la màquina compromesa. El WmiPrvMon.exe està registrat com a servei i funciona com a llançador per a l'altre fitxer, que es creu que és la càrrega útil principal de l'atac. Es lliura com un fitxer anomenat wmimon.dll i és capaç d'establir un shell remot.

L'intèrpret d'ordres conté un URL codificat que s'utilitza per arribar al servidor C&C i tot el trànsit entre el servidor i el programari maliciós està autoritzat i xifrat. A través de l'intèrpret remot, la banda de PuzzleMaker pot manipular els processos del sistema infectat, obligar-lo a entrar en mode de repòs, lliurar fitxers addicionals o exfiltrar les dades escollides, així com ordenar al programari maliciós que s'elimini.

Tendència

Més vist

Carregant...