PuzzleMaker küberkuritegevuse jõuk

Infoseci uurijad tuvastasid uue väga sihitud rünnakute laine. Operatsiooni omadused ei vastanud ühelegi juba loodud küberkuritegevuse rühmituse TTP-le (Tactics, Techniques and Procedures). Kattumise puudumine eelmiste rünnakukampaaniatega pani uurijad omistama vaadeldud rünnaku äsja määratud ohutegijale, kellele nad panid nimeks PuzzleMaker.

Esialgne kompromissvektor

Analüüs näitas, et PuzzleMakeri häkkerid tuginesid Google Chrome'is ja Microsoft Windowsis leitud nullpäeva haavatavustele. Täpset Chrome'i ärakasutamist ei olnud võimalik kindlaks teha, kuid kaudsed tõendid viitavad haavatavusele CVE-2021-21224, mis võib mõjutada Chrome'i versiooni 90.0.4420.72. Selle konkreetse ärakasutamise parandas Google 20. aprillil 2021.

Siiski tuvastati kaks PuzzleMakeri rünnakus kasutatud Windowsi haavatavust ja neile anti tähised CVE-2021-31955 ja CVE-2021-31956. Microsoft parandas mõlemad ärakasutamisvõimalused 8. juunil 2021.

CVE-2021-31955 on faili ntoskrnl.exe teabe avalikustamise haavatavus. See on seotud funktsiooniga SuperFetch, mis võeti kasutusele Windows Vistaga. SuperFetch loodi Windowsi süsteemide laadimisaegade lühendamiseks, laadides mällu teatud sageli kasutatavad rakendused. CVE-2021-31956 kirjeldatakse failis ntfs.sys kui hunnikupõhist puhvri ületäitumist.

PuzzleMakeri pahavara

Pärast sihitud süsteemile tugipunkti loomist loobub PuzzleMakeri jõuk neli pahavaramoodulit, millest igaüks vastutab rünnakuahela eraldi etapi eest. Esiteks kinnitab etapimoodul edukat rikkumist ja teavitab häkkereid. Seejärel tõmbab see kaugserverist keerukama järgmise astme tilgutimooduli. Näib, et igale ohvrile langenud etapimoodul sisaldab kohandatud konfiguratsiooniplokki, mis määrab käsu-ja juhtimise serveri URL-i, seansi ID ja võtmed, mis on vajalikud järgmise pahavaramooduli dekrüpteerimiseks.

Tilguti moodul laadib alla kaks käivitatavat faili ohustatud masina kaustas %SYSTEM%. WmiPrvMon.exe on registreeritud teenusena ja see toimib käivitajana teise faili jaoks, mis arvatakse olevat rünnaku peamine koormus. See tarnitakse failina nimega wmimon.dll ja see on võimeline looma kaugshelli.

Kest sisaldab kõvakodeeritud URL-i, mida kasutatakse C&C serverini jõudmiseks ning kogu serveri ja pahavara vaheline liiklus on volitatud ja krüptitud. PuzzleMakeri jõuk saab kaugkesta kaudu manipuleerida nakatunud süsteemi protsessidega, sundida seda unerežiimi lülituma, edastada täiendavaid faile või välja filtreerida valitud andmeid ning anda pahavarale käsu end kustutada.