PuzzleMaker Cybercrime Gang

इन्फोसेक के शोधकर्ताओं ने अत्यधिक लक्षित हमलों की एक नई लहर का पता लगाया। ऑपरेशन की विशेषताएं पहले से स्थापित साइबर अपराध समूहों के किसी भी टीटीपी (रणनीति, तकनीक और प्रक्रिया) से मेल नहीं खातीं। पिछले हमले के अभियानों के साथ ओवरलैप की कमी ने शोधकर्ताओं को एक नए नामित खतरे वाले अभिनेता को देखे गए हमले का श्रेय दिया, जिसे उन्होंने पहेलीमेकर नाम दिया।

प्रारंभिक समझौता वेक्टर

विश्लेषण से पता चला कि पहेलीमेकर हैकर्स Google क्रोम और माइक्रोसॉफ्ट विंडोज में पाए जाने वाले शून्य-दिन की कमजोरियों पर निर्भर थे। सटीक क्रोम कारनामों को इंगित नहीं किया जा सकता है, लेकिन परिस्थितिजन्य साक्ष्य CVE-2021-21224 भेद्यता की ओर इशारा करते हैं जो 90.0.4420.72 क्रोम बिल्ड को प्रभावित कर सकता है। इस खास कारनामे को गूगल ने 20 अप्रैल 2021 को फिक्स किया था।

हालांकि, पहेलीमेकर हमले में नियोजित दो विंडोज़ कमजोरियों की पहचान की गई और उन्हें सीवीई-2021-31955 और सीवीई-2021-31956 पदनाम दिए गए। दोनों कारनामों को Microsoft द्वारा 8 जून, 2021 को पैच किया गया था।

CVE-2021-31955 ntoskrnl.exe में एक सूचना प्रकटीकरण भेद्यता है। यह सुपरफच नामक एक फीचर से संबंधित है जिसे विंडोज विस्टा के साथ पेश किया गया था। सुपरफच को विंडोज सिस्टम पर लोड समय को कम करने के लिए कुछ अक्सर उपयोग किए जाने वाले अनुप्रयोगों को मेमोरी में प्रीलोड करने के लिए डिज़ाइन किया गया था। CVE-2021-31956 को ntfs.sys में हीप-आधारित बफ़र ओवरफ़्लो के रूप में वर्णित किया गया है।

पहेली निर्माता मैलवेयर

लक्षित प्रणाली पर एक पैर जमाने के बाद, पहेलीमेकर गिरोह चार मैलवेयर मॉड्यूल को छोड़ने के लिए आगे बढ़ता है जो हमले की श्रृंखला में एक अलग चरण के लिए जिम्मेदार होते हैं। सबसे पहले, एक स्टैगर मॉड्यूल सफल उल्लंघन की पुष्टि करता है और हैकर्स को सूचित करता है। इसके बाद यह एक दूरस्थ सर्वर से अधिक परिष्कृत, अगले चरण का ड्रॉपर मॉड्यूल प्राप्त करता है। ऐसा प्रतीत होता है कि प्रत्येक पीड़ित पर गिराए गए स्टैगर मॉड्यूल में एक अनुकूलित कॉन्फ़िगरेशन ब्लॉब होता है जो कमांड-एंड-कंट्रोल सर्वर का URL, सत्र आईडी और अगले मैलवेयर मॉड्यूल को डिक्रिप्ट करने के लिए आवश्यक कुंजियों को निर्धारित करता है।

ड्रॉपर मॉड्यूल समझौता किए गए मशीन के %SYSTEM% फ़ोल्डर में दो निष्पादन योग्य फ़ाइलों को डाउनलोड करता है। WmiPrvMon.exe एक सेवा के रूप में पंजीकृत है और यह दूसरी फ़ाइल के लिए लॉन्चर के रूप में कार्य करता है, जिसे हमले का मुख्य पेलोड माना जाता है। इसे wmimon.dll नाम की फ़ाइल के रूप में वितरित किया जाता है और यह एक दूरस्थ शेल स्थापित करने में सक्षम है।

शेल में एक हार्डकोडेड URL होता है जिसका उपयोग C & C सर्वर तक पहुंचने के लिए किया जाता है और सर्वर और मैलवेयर के बीच का सारा ट्रैफ़िक अधिकृत और एन्क्रिप्टेड होता है। रिमोट शेल के माध्यम से, पहेलीमेकर गिरोह संक्रमित सिस्टम पर प्रक्रियाओं में हेरफेर कर सकता है, इसे स्लीप मोड में प्रवेश करने के लिए मजबूर कर सकता है, अतिरिक्त फाइलें वितरित कर सकता है या चुने हुए डेटा को बाहर निकाल सकता है, साथ ही मैलवेयर को खुद को हटाने का आदेश दे सकता है।