باند جنایات سایبری PuzzleMaker
موج جدیدی از حملات بسیار هدفمند توسط محققان infosec شناسایی شد. ویژگیهای عملیات با هیچ یک از TTPها (تاکتیکها، تکنیکها و رویهها) گروههای جرایم سایبری که قبلاً ایجاد شده بودند، مطابقت نداشت. عدم همپوشانی با کمپینهای حمله قبلی، محققان را بر آن داشت تا حمله مشاهدهشده را به یک عامل تهدید تازه تعیینشده که آن را PuzzleMaker نامیدند نسبت دهند.
بردار سازش اولیه
تجزیه و تحلیل نشان داد که هکرهای PuzzleMaker بر آسیبپذیریهای روز صفر موجود در گوگل کروم و مایکروسافت ویندوز تکیه کردهاند. نمیتوان اکسپلویتهای Chrome را دقیقاً مشخص کرد، اما شواهد غیرواقعی به آسیبپذیری CVE-2021-21224 اشاره میکنند که میتواند بر ساخت کروم 90.0.4420.72 تأثیر بگذارد. این سوء استفاده خاص توسط گوگل در 20 آوریل 2021 برطرف شد.
با این حال، دو آسیبپذیری ویندوز به کار رفته در حمله PuzzleMaker شناسایی شدند و نامهای CVE-2021-31955 و CVE-2021-31956 به آنها اختصاص داده شد. هر دو اکسپلویت توسط مایکروسافت در 8 ژوئن 2021 وصله شدند.
CVE-2021-31955 یک آسیب پذیری افشای اطلاعات در ntoskrnl.exe است. مربوط به قابلیتی به نام SuperFetch است که با ویندوز ویستا معرفی شد. SuperFetch برای کاهش زمان بارگذاری در سیستمهای ویندوز با از پیش بارگذاری برخی از برنامههای کاربردی پرکاربرد در حافظه طراحی شده است. CVE-2021-31956 به عنوان یک سرریز بافر مبتنی بر پشته در ntfs.sys توصیف شده است.
بدافزار PuzzleMaker
پس از ایجاد جای پایی بر روی سیستم مورد نظر، باند PuzzleMaker اقدام به حذف چهار ماژول بدافزار کرد که هر کدام یک مرحله جداگانه در زنجیره حمله را بر عهده دارند. ابتدا، یک ماژول مرحلهای، نفوذ موفقیتآمیز را تأیید کرده و به هکرها اطلاع میدهد. سپس یک ماژول قطره چکان پیچیده تر و مرحله بعدی را از یک سرور راه دور دریافت می کند. به نظر میرسد که ماژول مرحلهای که روی هر قربانی انداخته میشود حاوی یک لکه پیکربندی سفارشیشده است که URL سرور Command-and-Control، شناسه جلسه و کلیدهای مورد نیاز برای رمزگشایی ماژول بدافزار بعدی را تعیین میکند.
ماژول قطره چکان دو فایل اجرایی را در پوشه %SYSTEM% دستگاه در معرض خطر دانلود می کند. WmiPrvMon.exe به عنوان یک سرویس ثبت شده است و به عنوان راه اندازی برای فایل دیگر، که گمان می رود محموله اصلی حمله باشد، عمل می کند. این به صورت فایلی با نام wmimon.dll تحویل داده می شود و می تواند یک پوسته راه دور ایجاد کند.
پوسته حاوی یک URL سخت کد شده است که برای دسترسی به سرور C&C استفاده می شود و تمام ترافیک بین سرور و بدافزار مجاز و رمزگذاری شده است. از طریق پوسته راه دور، باند PuzzleMaker می تواند فرآیندهای سیستم آلوده را دستکاری کند، آن را مجبور به وارد شدن به حالت خواب کند، فایل های اضافی را تحویل دهد یا داده های انتخاب شده را استخراج کند، و همچنین به بدافزار دستور دهد تا خودش را حذف کند.