Threat Database Advanced Persistent Threat (APT) כנופיית פשע סייבר של PuzzleMaker

כנופיית פשע סייבר של PuzzleMaker

גל חדש של התקפות ממוקדות מאוד זוהה על ידי חוקרי infosec. מאפייני המבצע לא תאמו אף אחד מה-TTPs (טקטיקות, טכניקות ונהלים) של קבוצות פשעי הסייבר שהוקמו כבר. היעדר החפיפה עם קמפיינים תקיפים קודמים הובילה את החוקרים לייחס את המתקפה שנצפתה לשחקן איום חדש שנועד לו בשם PuzzleMaker.

וקטור פשרה ראשוני

ניתוח גילה שההאקרים של PuzzleMaker הסתמכו על פגיעויות של יום אפס שנמצאו ב-Google Chrome ו-Microsoft Windows. לא ניתן היה לזהות את הניצול המדויק של Chrome, אך ראיות נסיבתיות מצביעות על הפגיעות CVE-2021-21224 שעלולה להשפיע על מבנה Chrome 90.0.4420.72. הניצול המסוים הזה תוקן על ידי Google ב-20 באפריל 2021.

עם זאת, שתי נקודות התורפה של Windows שהופעלו במתקפת PuzzleMaker זוהו והוקצו להם הכינויים CVE-2021-31955 ו-CVE-2021-31956. שני היתרונות תוקנה על ידי מיקרוסופט ב-8 ביוני 2021.

CVE-2021-31955 היא פגיעות של חשיפת מידע ב-ntoskrnl.exe. זה קשור לתכונה בשם SuperFetch שהוצגה עם Windows Vista. SuperFetch תוכנן להפחית את זמני הטעינה במערכות Windows על ידי טעינה מראש של יישומים מסוימים בשימוש תכוף לזיכרון. CVE-2021-31956 מתואר כגלף חיץ מבוסס ערמה ב-ntfs.sys.

תוכנת הזדונית של PuzzleMaker

לאחר ביסוס דריסת רגל על המערכת הממוקדת, חבורת PuzzleMaker ממשיכה לשחרר ארבעה מודולים של תוכנות זדוניות שכל אחד מהם אחראי לשלב נפרד בשרשרת ההתקפה. ראשית, מודול stager מאשר את ההפרה המוצלחת ומודיע להאקרים. לאחר מכן הוא מביא משרת מרוחק מודול טפטפת מתוחכם יותר בשלב הבא. נראה שמודול ה-Stageer שהונח על כל קורבן מכיל בלוק תצורה מותאם שקובע את כתובת האתר של שרת הפקודה והבקרה, מזהה הפגישה והמפתחות הדרושים לפענוח מודול התוכנה הזדונית הבאה.

מודול הטפטפת מוריד שני קבצי הפעלה בתיקייה %SYSTEM% של המחשב שנפרץ. ה-WmiPrvMon.exe רשום כשירות והוא מתפקד כמשגר עבור הקובץ השני, אשר מאמינים שהוא המטען העיקרי של המתקפה. הוא מועבר כקובץ בשם wmimon.dll והוא מסוגל ליצור מעטפת מרוחקת.

המעטפת מכילה כתובת URL מקודדת המשמשת כדי להגיע לשרת C&C וכל התעבורה בין השרת לבין התוכנה הזדונית מורשית ומוצפנת. באמצעות המעטפת המרוחקת, חבורת PuzzleMaker יכולה לתמרן את התהליכים במערכת הנגועה, לאלץ אותה להיכנס למצב שינה, לספק קבצים נוספים או לסנן נתונים נבחרים, כמו גם להורות לתוכנה הזדונית למחוק את עצמה.

מגמות

הכי נצפה

טוען...