PuzzleMaker Cybercrime Gang

Erősen célzott támadások új hullámát észlelték az infosec kutatói. A művelet jellemzői nem egyeztek a már kialakult kiberbűnözési csoportok egyik TTP-jével (Tactics, Techniques and Procedures). Az átfedés hiánya a korábbi támadási kampányokkal arra késztette a kutatókat, hogy a megfigyelt támadást egy újonnan kijelölt fenyegetés szereplőjének tulajdonították, akit PuzzleMakernek neveztek el.

Kezdeti kompromisszum vektor

Az elemzés feltárta, hogy a PuzzleMaker hackerei a Google Chrome és a Microsoft Windows nulladik napi sebezhetőségeire hagyatkoztak. A Chrome pontos kizsákmányolásait nem lehetett pontosan meghatározni, de közvetett bizonyítékok a CVE-2021-21224 biztonsági résre utalnak, amely hatással lehet a 90.0.4420.72 Chrome buildre. Ezt a kizsákmányolást a Google javította 2021. április 20-án.

A PuzzleMaker támadásban alkalmazott két Windows-sebezhetőséget azonban azonosították, és a CVE-2021-31955 és CVE-2021-31956 elnevezéseket kapták. Mindkét exploitot a Microsoft javította 2021. június 8-án.

A CVE-2021-31955 az ntoskrnl.exe fájl információfeltárását okozó biztonsági rése. Ez a SuperFetch nevű szolgáltatáshoz kapcsolódik, amelyet a Windows Vista rendszerben vezettek be. A SuperFetch-et úgy tervezték, hogy csökkentse a betöltési időt a Windows rendszereken bizonyos gyakran használt alkalmazások memóriába való előzetes betöltésével. A CVE-2021-31956 leírása halom alapú puffertúlcsordulás az ntfs.sys fájlban.

A PuzzleMaker malware

Miután megvetette a lábát a megcélzott rendszeren, a PuzzleMaker banda négy rosszindulatú programmodult dob le a támadási lánc egy-egy szakaszáért. Először egy színpadi modul megerősíti a sikeres incidenst, és értesíti a hackereket. Ezután letölt egy kifinomultabb, következő fokozatú dropper modult egy távoli szerverről. Úgy tűnik, hogy az egyes áldozatokra kidobott színpadi modul egy testreszabott konfigurációs blobot tartalmaz, amely meghatározza a Command-and-Control szerver URL-jét, a munkamenet-azonosítót és a következő rosszindulatú programmodul visszafejtéséhez szükséges kulcsokat.

A dropper modul két végrehajtható fájlt tölt le a feltört gép %SYSTEM% mappájában. A WmiPrvMon.exe szolgáltatásként van regisztrálva, és indítóként működik a másik fájlhoz, amelyről úgy gondolják, hogy a támadás fő rakománya. A wmimon.dll nevű fájlként érkezik, és képes távoli parancsértelmező létrehozására.

A shell tartalmaz egy kemény kódolt URL-t, amely a C&C szerver elérésére szolgál, és a szerver és a rosszindulatú program közötti teljes forgalom engedélyezett és titkosított. A távoli héjon keresztül a PuzzleMaker banda manipulálhatja a fertőzött rendszer folyamatait, alvó módba kényszerítheti, további fájlokat szállíthat vagy kiszűrheti a kiválasztott adatokat, valamint utasíthatja a kártevőt, hogy törölje magát.