باند جنایات سایبری PuzzleMaker

موج جدیدی از حملات بسیار هدفمند توسط محققان infosec شناسایی شد. ویژگی‌های عملیات با هیچ یک از TTPها (تاکتیک‌ها، تکنیک‌ها و رویه‌ها) گروه‌های جرایم سایبری که قبلاً ایجاد شده بودند، مطابقت نداشت. عدم همپوشانی با کمپین‌های حمله قبلی، محققان را بر آن داشت تا حمله مشاهده‌شده را به یک عامل تهدید تازه تعیین‌شده که آن را PuzzleMaker نامیدند نسبت دهند.

بردار سازش اولیه

تجزیه و تحلیل نشان داد که هکرهای PuzzleMaker بر آسیب‌پذیری‌های روز صفر موجود در گوگل کروم و مایکروسافت ویندوز تکیه کرده‌اند. نمی‌توان اکسپلویت‌های Chrome را دقیقاً مشخص کرد، اما شواهد غیرواقعی به آسیب‌پذیری CVE-2021-21224 اشاره می‌کنند که می‌تواند بر ساخت کروم 90.0.4420.72 تأثیر بگذارد. این سوء استفاده خاص توسط گوگل در 20 آوریل 2021 برطرف شد.

با این حال، دو آسیب‌پذیری ویندوز به کار رفته در حمله PuzzleMaker شناسایی شدند و نام‌های CVE-2021-31955 و CVE-2021-31956 به آنها اختصاص داده شد. هر دو اکسپلویت توسط مایکروسافت در 8 ژوئن 2021 وصله شدند.

CVE-2021-31955 یک آسیب پذیری افشای اطلاعات در ntoskrnl.exe است. مربوط به قابلیتی به نام SuperFetch است که با ویندوز ویستا معرفی شد. SuperFetch برای کاهش زمان بارگذاری در سیستم‌های ویندوز با از پیش بارگذاری برخی از برنامه‌های کاربردی پرکاربرد در حافظه طراحی شده است. CVE-2021-31956 به عنوان یک سرریز بافر مبتنی بر پشته در ntfs.sys توصیف شده است.

بدافزار PuzzleMaker

پس از ایجاد جای پایی بر روی سیستم مورد نظر، باند PuzzleMaker اقدام به حذف چهار ماژول بدافزار کرد که هر کدام یک مرحله جداگانه در زنجیره حمله را بر عهده دارند. ابتدا، یک ماژول مرحله‌ای، نفوذ موفقیت‌آمیز را تأیید کرده و به هکرها اطلاع می‌دهد. سپس یک ماژول قطره چکان پیچیده تر و مرحله بعدی را از یک سرور راه دور دریافت می کند. به نظر می‌رسد که ماژول مرحله‌ای که روی هر قربانی انداخته می‌شود حاوی یک لکه پیکربندی سفارشی‌شده است که URL سرور Command-and-Control، شناسه جلسه و کلیدهای مورد نیاز برای رمزگشایی ماژول بدافزار بعدی را تعیین می‌کند.

ماژول قطره چکان دو فایل اجرایی را در پوشه %SYSTEM% دستگاه در معرض خطر دانلود می کند. WmiPrvMon.exe به عنوان یک سرویس ثبت شده است و به عنوان راه اندازی برای فایل دیگر، که گمان می رود محموله اصلی حمله باشد، عمل می کند. این به صورت فایلی با نام wmimon.dll تحویل داده می شود و می تواند یک پوسته راه دور ایجاد کند.

پوسته حاوی یک URL سخت کد شده است که برای دسترسی به سرور C&C استفاده می شود و تمام ترافیک بین سرور و بدافزار مجاز و رمزگذاری شده است. از طریق پوسته راه دور، باند PuzzleMaker می تواند فرآیندهای سیستم آلوده را دستکاری کند، آن را مجبور به وارد شدن به حالت خواب کند، فایل های اضافی را تحویل دهد یا داده های انتخاب شده را استخراج کند، و همچنین به بدافزار دستور دهد تا خودش را حذف کند.