PuzzleMaker Cybercrime Gang

I ricercatori di infosec hanno rilevato una nuova ondata di attacchi altamente mirati. Le caratteristiche dell'operazione non corrispondevano a nessuno dei TTP (tattiche, tecniche e procedure) dei gruppi di criminalità informatica già costituiti. La mancanza di sovrapposizione con le precedenti campagne di attacco ha portato i ricercatori ad attribuire l'attacco osservato a un attore di minacce appena designato che hanno chiamato PuzzleMaker.

Vettore di compromesso iniziale

L'analisi ha rivelato che gli hacker di PuzzleMaker si affidavano alle vulnerabilità zero-day trovate in Google Chrome e Microsoft Windows. Non è stato possibile individuare gli esatti exploit di Chrome, ma prove circostanziali indicano la vulnerabilità CVE-2021-21224 che potrebbe interessare la build 90.0.4420.72 di Chrome. Questo particolare exploit è stato risolto da Google il 20 aprile 2021.

Tuttavia, le due vulnerabilità di Windows impiegate nell'attacco PuzzleMaker sono state identificate e le sono state assegnate le designazioni CVE-2021-31955 e CVE-2021-31956. Entrambi gli exploit sono stati corretti da Microsoft l'8 giugno 2021.

CVE-2021-31955 è una vulnerabilità legata all'intercettazione di informazioni personali in ntoskrnl.exe. È correlato a una funzionalità chiamata SuperFetch introdotta con Windows Vista. SuperFetch è stato progettato per ridurre i tempi di caricamento sui sistemi Windows precaricando in memoria alcune applicazioni utilizzate di frequente. CVE-2021-31956 è descritto come un buffer overflow basato su heap in ntfs.sys.

Il malware PuzzleMaker

Dopo aver stabilito un punto d'appoggio sul sistema preso di mira, la banda di PuzzleMaker procede a rilasciare quattro moduli malware, ciascuno responsabile di una fase separata della catena di attacco. Innanzitutto, un modulo stager conferma l'avvenuta violazione e avvisa gli hacker. Quindi recupera un modulo dropper di fase successiva più sofisticato da un server remoto. Sembra che il modulo stager rilasciato su ciascuna vittima contenga un blob di configurazione personalizzato che determina l'URL del server Command-and-Control, l'ID sessione e le chiavi necessarie per decrittografare il successivo modulo malware.

Il modulo contagocce scarica due file eseguibili nella cartella %SYSTEM% della macchina compromessa. Il WmiPrvMon.exe è registrato come servizio e funziona come lanciatore per l'altro file, che si ritiene sia il payload principale dell'attacco. Viene fornito come file denominato wmimon.dll ed è in grado di stabilire una shell remota.

La shell contiene un URL codificato utilizzato per raggiungere il server C&C e tutto il traffico tra il server e il malware è autorizzato e crittografato. Attraverso la shell remota, la banda di PuzzleMaker può manipolare i processi sul sistema infetto, costringerlo ad entrare in modalità di sospensione, fornire file aggiuntivi o esfiltrare i dati scelti, nonché comandare al malware di eliminarsi.