Grupa za kibernetski kriminal PuzzleMaker

Istraživači infoseca otkrili su novi val visoko ciljanih napada. Karakteristike operacije nisu odgovarale niti jednom od TTP-ova (Taktike, tehnike i procedure) već uspostavljenih skupina kibernetičkog kriminala. Nedostatak preklapanja s prethodnim kampanjama napada naveo je istraživače da opaženi napad pripišu novoimenovanom akteru prijetnje kojeg su nazvali PuzzleMaker.

Početni kompromisni vektor

Analiza je otkrila da su se hakeri PuzzleMakera oslanjali na ranjivosti nultog dana pronađene u Google Chrome i Microsoft Windows. Točna poduzimanja Chromea nije se mogla točno odrediti, ali posredni dokazi upućuju na ranjivost CVE-2021-21224 koja bi mogla utjecati na 90.0.4420.72 Chrome verziju. Google je popravio ovaj konkretni eksploataciju 20. travnja 2021.

Međutim, identificirane su dvije Windows ranjivosti upotrijebljene u napadu PuzzleMaker i dodijeljene su im oznake CVE-2021-31955 i CVE-2021-31956. Microsoft je zakrpio oba exploita 8. lipnja 2021.

CVE-2021-31955 je ranjivost otkrivanja informacija u ntoskrnl.exe. Povezan je sa značajkom zvanom SuperFetch koja je predstavljena u sustavu Windows Vista. SuperFetch je dizajniran da smanji vrijeme učitavanja na Windows sustavima unaprijed učitavanjem određenih često korištenih aplikacija u memoriju. CVE-2021-31956 je opisan kao prelijevanje međuspremnika koji se temelji na hrpi u ntfs.sys.

Zlonamjerni softver PuzzleMaker

Nakon uspostavljanja uporišta na ciljanom sustavu, skupina PuzzleMaker nastavlja s izbacivanjem četiri modula zlonamjernog softvera, od kojih je svaki odgovoran za zasebnu fazu u lancu napada. Prvo, stager modul potvrđuje uspješno probijanje i obavještava hakere. Zatim s udaljenog poslužitelja dohvaća sofisticiraniji modul kapaljke sljedeće faze. Čini se da stager modul ispušten na svaku žrtvu sadrži prilagođeni konfiguracijski blob koji određuje URL poslužitelja za naredbu i kontrolu, ID sesije i ključeve potrebne za dešifriranje sljedećeg modula zlonamjernog softvera.

Modul dropper preuzima dvije izvršne datoteke u mapi %SYSTEM% kompromitovanog stroja. WmiPrvMon.exe je registriran kao usluga i funkcionira kao pokretač za drugu datoteku, za koju se vjeruje da je glavni teret napada. Isporučuje se kao datoteka pod nazivom wmimon.dll i može uspostaviti udaljenu ljusku.

Školjka sadrži tvrdo kodirani URL koji se koristi za pristup C&C poslužitelju i sav promet između poslužitelja i zlonamjernog softvera je autoriziran i šifriran. Putem udaljene ljuske, grupa PuzzleMaker može manipulirati procesima na zaraženom sustavu, prisiliti ga da uđe u stanje mirovanja, isporuči dodatne datoteke ili eksfiltrira odabrane podatke, kao i zapovjediti zlonamjernom softveru da se sam izbriše.