Gang pro počítačovou kriminalitu PuzzleMaker
Výzkumníci společnosti Infosec zaznamenali novou vlnu vysoce cílených útoků. Charakteristiky operace neodpovídaly žádnému z TTP (taktiky, techniky a postupů) již zavedených skupin kyberzločinu. Nedostatek překrývání s předchozími útočnými kampaněmi vedl výzkumníky k tomu, že pozorovaný útok připsali nově určenému aktérovi hrozby, kterého pojmenovali PuzzleMaker.
Počáteční kompromisní vektor
Analýza odhalila, že hackeři PuzzleMaker spoléhali na zranitelnosti zero-day nalezené v Google Chrome a Microsoft Windows. Přesné zneužití Chrome nebylo možné přesně určit, ale nepřímé důkazy ukazují na zranitelnost CVE-2021-21224, která by mohla ovlivnit sestavení Chrome 90.0.4420.72. Tento konkrétní exploit byl opraven společností Google 20. dubna 2021.
Dvě zranitelnosti Windows použité při útoku PuzzleMaker však byly identifikovány a byla jim přidělena označení CVE-2021-31955 a CVE-2021-31956. Oba exploity byly opraveny společností Microsoft 8. června 2021.
CVE-2021-31955 je chyba zabezpečení umožňující zpřístupnění informací v souboru ntoskrnl.exe. Souvisí s funkcí nazvanou SuperFetch, která byla představena s Windows Vista. SuperFetch byl navržen tak, aby zkrátil dobu načítání v systémech Windows předem načtením určitých často používaných aplikací do paměti. CVE-2021-31956 je popsán jako přetečení vyrovnávací paměti založené na haldě v ntfs.sys.
Malware PuzzleMaker
Po ustavení oporu v cílovém systému gang PuzzleMaker přistoupí k odstranění čtyř malwarových modulů, z nichž každý je zodpovědný za samostatnou fázi v řetězu útoků. Nejprve modul stager potvrdí úspěšné narušení a upozorní hackery. Ze vzdáleného serveru pak získá sofistikovanější modul dropperu další fáze. Zdá se, že modul stager upuštěný na každou oběť obsahuje přizpůsobený konfigurační objekt blob, který určuje adresu URL serveru Command-and-Control, ID relace a klíče potřebné k dešifrování dalšího modulu škodlivého softwaru.
Modul dropper stáhne dva spustitelné soubory ve složce %SYSTEM% napadeného počítače. WmiPrvMon.exe je registrován jako služba a funguje jako spouštěč pro jiný soubor, o kterém se předpokládá, že je hlavním nákladem útoku. Dodává se jako soubor s názvem wmimon.dll a je schopen vytvořit vzdálený shell.
Shell obsahuje pevně zakódovanou adresu URL používanou k dosažení serveru C&C a veškerý provoz mezi serverem a malwarem je autorizován a šifrován. Prostřednictvím vzdáleného shellu může skupina PuzzleMaker manipulovat s procesy v infikovaném systému, přinutit jej přejít do režimu spánku, doručit další soubory nebo exfiltrovat vybraná data a také přikázat malwaru, aby se sám odstranil.
