PuzzleMaker Cybercrime Gang

Infosec-tutkijat havaitsivat uuden erittäin kohdistettujen hyökkäysten aallon. Operaation ominaisuudet eivät vastanneet yhtään jo perustettujen tietoverkkorikollisuusryhmien TTP:tä (Tactics, Techniques and Procedures). Päällekkäisyyden puute aikaisempien hyökkäyskampanjoiden kanssa sai tutkijat katsomaan havaitun hyökkäyksen äskettäin nimetylle uhkatekijälle, jolle he antoivat nimen PuzzleMaker.

Alkuperäinen kompromissivektori

Analyysi paljasti, että PuzzleMaker-hakkerit luottivat nollapäivän haavoittuvuuksiin, jotka löytyivät Google Chromesta ja Microsoft Windowsista. Tarkkoja Chromen hyväksikäyttöjä ei voitu määrittää, mutta epäsuorat todisteet viittaavat haavoittuvuuteen CVE-2021-21224, joka saattaa vaikuttaa 90.0.4420.72 Chrome-koontiversioon. Google korjasi tämän hyväksikäytön 20. huhtikuuta 2021.

PuzzleMaker-hyökkäyksessä käytetyt kaksi Windowsin haavoittuvuutta kuitenkin tunnistettiin ja niille annettiin nimitykset CVE-2021-31955 ja CVE-2021-31956. Microsoft korjasi molemmat hyödyt 8.6.2021.

CVE-2021-31955 on ntoskrnl.exe-tiedoston tietojen paljastamisen haavoittuvuus. Se liittyy SuperFetch-nimiseen ominaisuuteen, joka otettiin käyttöön Windows Vistan kanssa. SuperFetch on suunniteltu lyhentämään latausaikoja Windows-järjestelmissä esilataamalla tietyt usein käytetyt sovellukset muistiin. CVE-2021-31956 kuvataan kasaan perustuvaksi puskurin ylivuotoksi tiedostossa ntfs.sys.

PuzzleMaker-haittaohjelma

Saatuaan jalansijan kohteena olevassa järjestelmässä PuzzleMaker-jengi pudottaa neljä haittaohjelmamoduulia, joista jokainen vastaa erillisestä vaiheesta hyökkäysketjussa. Ensin vaiheittainen moduuli vahvistaa onnistuneen tietomurron ja ilmoittaa hakkereille. Sitten se hakee kehittyneemmän, seuraavan vaiheen dropper-moduulin etäpalvelimelta. Näyttää siltä, että jokaiseen uhriin pudonnut vaihemoduuli sisältää mukautetun määritysblobin, joka määrittää Command-and-Control -palvelimen URL-osoitteen, istunnon tunnuksen ja avaimet, joita tarvitaan seuraavan haittaohjelmamoduulin salauksen purkamiseen.

dropper-moduuli lataa kaksi suoritettavaa tiedostoa vaarantuneen koneen %SYSTEM%-kansioon. WmiPrvMon.exe on rekisteröity palveluksi ja se toimii käynnistysohjelmana toiselle tiedostolle, jonka uskotaan olevan hyökkäyksen päähyötykuorma. Se toimitetaan tiedostona nimeltä wmimon.dll ja se pystyy muodostamaan etäkuoren.

Shell sisältää kovakoodatun URL-osoitteen, jota käytetään C&C-palvelimen tavoittamiseen, ja kaikki palvelimen ja haittaohjelman välinen liikenne on valtuutettu ja salattu. Etäkuoren kautta PuzzleMaker-ryhmä voi manipuloida saastuneen järjestelmän prosesseja, pakottaa sen siirtymään lepotilaan, toimittaa lisätiedostoja tai suodattaa valittuja tietoja sekä käskeä haittaohjelman poistamaan itsensä.