PuzzleMaker συμμορία Ηλεκτρονικού Εγκλήματος

Ένα νέο κύμα εξαιρετικά στοχευμένων επιθέσεων εντόπισαν ερευνητές της infosec. Τα χαρακτηριστικά της επιχείρησης δεν ταίριαζαν με κανένα από τα ΤΤΠ (Τακτικές, Τεχνικές και Διαδικασίες) των ήδη συστημένων ομάδων εγκληματικότητας στον κυβερνοχώρο. Η έλλειψη επικάλυψης με προηγούμενες εκστρατείες επίθεσης οδήγησε τους ερευνητές να αποδώσουν την παρατηρούμενη επίθεση σε έναν νέο φορέα απειλής που ονόμασαν PuzzleMaker.

Αρχικό διάνυσμα συμβιβασμού

Η ανάλυση αποκάλυψε ότι οι χάκερ του PuzzleMaker βασίστηκαν σε τρωτά σημεία zero-day που βρέθηκαν στο Google Chrome και τα Microsoft Windows. Οι ακριβείς εκμεταλλεύσεις του Chrome δεν ήταν δυνατό να εντοπιστούν, αλλά έμμεσα στοιχεία δείχνουν την ευπάθεια CVE-2021-21224 που θα μπορούσε να επηρεάσει την έκδοση 90.0.4420.72 του Chrome. Αυτή η συγκεκριμένη εκμετάλλευση διορθώθηκε από την Google στις 20 Απριλίου 2021.

Ωστόσο, τα δύο τρωτά σημεία των Windows που χρησιμοποιήθηκαν στην επίθεση PuzzleMaker εντοπίστηκαν και τους εκχωρήθηκαν οι ονομασίες CVE-2021-31955 και CVE-2021-31956. Και τα δύο exploit διορθώθηκαν από τη Microsoft στις 8 Ιουνίου 2021.

Το CVE-2021-31955 είναι ένα θέμα ευπάθειας αποκάλυψης πληροφοριών στο ntoskrnl.exe. Σχετίζεται με μια δυνατότητα που ονομάζεται SuperFetch που παρουσιάστηκε με τα Windows Vista. Το SuperFetch σχεδιάστηκε για να μειώνει τους χρόνους φόρτωσης σε συστήματα Windows προφορτώνοντας ορισμένες εφαρμογές που χρησιμοποιούνται συχνά στη μνήμη. Το CVE-2021-31956 περιγράφεται ως υπερχείλιση buffer που βασίζεται σε σωρό στο ntfs.sys.

Το κακόβουλο λογισμικό PuzzleMaker

Αφού εδραιώσει το έδαφος στο στοχευμένο σύστημα, η συμμορία PuzzleMaker προχώρησε στην απόρριψη τεσσάρων λειτουργικών μονάδων κακόβουλου λογισμικού καθεμία υπεύθυνη για ένα ξεχωριστό στάδιο στην αλυσίδα επίθεσης. Πρώτον, μια μονάδα σταδίου επιβεβαιώνει την επιτυχή παραβίαση και ειδοποιεί τους χάκερ. Στη συνέχεια, φέρνει μια πιο εξελιγμένη μονάδα dropper επόμενου σταδίου από έναν απομακρυσμένο διακομιστή. Φαίνεται ότι η μονάδα σταδίου που πέφτει σε κάθε θύμα περιέχει μια προσαρμοσμένη κηλίδα διαμόρφωσης που καθορίζει τη διεύθυνση URL του διακομιστή Command-and-Control, το Session ID και τα κλειδιά που απαιτούνται για την αποκρυπτογράφηση της επόμενης λειτουργικής μονάδας κακόβουλου λογισμικού.

Η μονάδα dropper πραγματοποιεί λήψη δύο εκτελέσιμων αρχείων στον φάκελο %SYSTEM% του παραβιασμένου μηχανήματος. Το WmiPrvMon.exe είναι εγγεγραμμένο ως υπηρεσία και λειτουργεί ως εκκινητής για το άλλο αρχείο, το οποίο πιστεύεται ότι είναι το κύριο ωφέλιμο φορτίο της επίθεσης. Παραδίδεται ως αρχείο με το όνομα wmimon.dll και είναι ικανό να δημιουργήσει ένα απομακρυσμένο κέλυφος.

Το κέλυφος περιέχει μια ενσωματωμένη διεύθυνση URL που χρησιμοποιείται για την πρόσβαση στον διακομιστή C&C και όλη η κίνηση μεταξύ του διακομιστή και του κακόβουλου λογισμικού είναι εξουσιοδοτημένη και κρυπτογραφημένη. Μέσω του απομακρυσμένου κελύφους, η συμμορία PuzzleMaker μπορεί να χειριστεί τις διαδικασίες στο μολυσμένο σύστημα, να το αναγκάσει να μπει σε κατάσταση αναστολής λειτουργίας, να παραδώσει πρόσθετα αρχεία ή να διεισδύσει επιλεγμένα δεδομένα, καθώς και να δώσει εντολή στο κακόβουλο λογισμικό να διαγραφεί.