PuzzleMaker cyberkriminalitetsbande

En ny bølge af stærkt målrettede angreb blev opdaget af infosec-forskere. Operationens karakteristika matchede ikke nogen af TTP'erne (taktik, teknikker og procedurer) for de allerede etablerede cyberkriminalitetsgrupper. Manglen på overlapning med tidligere angrebskampagner fik forskerne til at tilskrive det observerede angreb til en nyudpeget trusselsaktør, som de kaldte PuzzleMaker.

Indledende kompromisvektor

Analyse afslørede, at PuzzleMaker-hackerne var afhængige af nul-dags sårbarheder, der findes i Google Chrome og Microsoft Windows. De nøjagtige Chrome-udnyttelser kunne ikke identificeres, men omstændigheder viser, at CVE-2021-21224-sårbarheden kan påvirke Chrome.0-bygningen 90.0.4420.72. Denne særlige udnyttelse blev rettet af Google den 20. april 2021.

De to Windows-sårbarheder, der blev anvendt i PuzzleMaker-angrebet, blev imidlertid identificeret og fik tildelt betegnelserne CVE-2021-31955 og CVE-2021-31956. Begge bedrifter blev patched af Microsoft den 8. juni 2021.

CVE-2021-31955 er en sårbarhed, der afslører oplysninger i ntoskrnl.exe. Det er relateret til en funktion kaldet SuperFetch, der blev introduceret med Windows Vista. SuperFetch blev designet til at sænke indlæsningstiderne på Windows-systemer ved at indlæse visse ofte anvendte applikationer i hukommelsen. CVE-2021-31956 er beskrevet som et bunkebaseret bufferoverløb i ntfs.sys.

PuzzleMaker Malware

Efter at have etableret fodfæste på det målrettede system fortsætter PuzzleMaker-banden med at droppe fire malware-moduler, der hver er ansvarlige for et separat trin i angrebskæden. For det første bekræfter et stagermodul den vellykkede overtrædelse og underretter hackerne. Derefter henter det et mere sofistikeret dropper-modul i næste trin fra en ekstern server. Det ser ud til, at stagermodulet, der er tabt på hvert offer, indeholder en tilpasset konfigurationsblob, der bestemmer URL'en til Command-and-Control-serveren, Sessions-ID og de nøgler, der er nødvendige for at dekryptere det næste malware-modul.

Dropper-modulet downloader to eksekverbare filer i mappen% SYSTEM% på den kompromitterede maskine. WmiPrvMon.exe er registreret som en tjeneste, og den fungerer som en launcher til den anden fil, som menes at være den vigtigste nyttelast for angrebet. Den leveres som en fil med navnet wmimon.dll og er i stand til at etablere en fjernskal.

Skallen indeholder en hardkodet URL, der bruges til at nå C & C-serveren, og al trafik mellem serveren og malware er autoriseret og krypteret. Gennem den eksterne skal kan PuzzleMaker-banden manipulere processerne på det inficerede system, tvinge det til at gå i dvaletilstand, levere yderligere filer eller exfiltrere valgte data samt kommandere malware til at slette sig selv.