PuzzleMaker Cybercrime Gang
រលកថ្មីនៃការវាយប្រហារដែលមានគោលដៅខ្ពស់ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវ infosec ។ លក្ខណៈនៃប្រតិបត្តិការនេះមិនត្រូវគ្នានឹង TTPs ណាមួយ (យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី) នៃក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានបង្កើតឡើងរួចហើយនោះទេ។ កង្វះនៃការត្រួតស៊ីគ្នាជាមួយនឹងយុទ្ធនាការវាយប្រហារពីមុនបាននាំឱ្យអ្នកស្រាវជ្រាវសន្មតថាការវាយប្រហារដែលបានសង្កេតឃើញទៅជាតួអង្គគំរាមកំហែងដែលបានកំណត់ថ្មីដែលពួកគេដាក់ឈ្មោះថា PuzzleMaker ។
វ៉ិចទ័រសម្របសម្រួលដំបូង
ការវិភាគបានបង្ហាញថាក្រុម Hacker PuzzleMaker ពឹងផ្អែកលើភាពងាយរងគ្រោះសូន្យថ្ងៃដែលរកឃើញនៅក្នុង Google Chrome និង Microsoft Windows ។ ការកេងប្រវ័ញ្ចរបស់ Chrome ពិតប្រាកដមិនអាចត្រូវបានបញ្ជាក់បានទេប៉ុន្តែភស្តុតាងតាមកាលៈទេសៈចង្អុលទៅភាពងាយរងគ្រោះ CVE-2021-21224 ដែលអាចប៉ះពាល់ដល់ការបង្កើត 90.0.4420.72 Chrome ។ ការកេងប្រវ័ញ្ចពិសេសនេះត្រូវបានជួសជុលដោយ Google នៅថ្ងៃទី 20 ខែមេសា ឆ្នាំ 2021។
ទោះជាយ៉ាងណាក៏ដោយ ភាពងាយរងគ្រោះរបស់ Windows ទាំងពីរដែលប្រើក្នុងការវាយប្រហារ PuzzleMaker ត្រូវបានកំណត់អត្តសញ្ញាណ ហើយត្រូវបានគេចាត់តាំងជា CVE-2021-31955 និង CVE-2021-31956 ។ ការកេងប្រវ័ញ្ចទាំងពីរនេះត្រូវបានជួសជុលដោយក្រុមហ៊ុន Microsoft នៅថ្ងៃទី 8 ខែមិថុនា ឆ្នាំ 2021។
CVE-2021-31955 គឺជាភាពងាយរងគ្រោះនៃការបញ្ចេញព័ត៌មាននៅក្នុង ntoskrnl.exe ។ វាទាក់ទងនឹងមុខងារមួយហៅថា SuperFetch ដែលត្រូវបានណែនាំជាមួយ Windows Vista ។ SuperFetch ត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយពេលវេលាផ្ទុកនៅលើប្រព័ន្ធ Windows ដោយផ្ទុកកម្មវិធីដែលប្រើញឹកញាប់មួយចំនួនជាមុនទៅក្នុងអង្គចងចាំ។ CVE-2021-31956 ត្រូវបានពិពណ៌នាថាជាការលើសចំណុះបណ្តុំដែលមានមូលដ្ឋាននៅក្នុង ntfs.sys។
មេរោគ PuzzleMaker
បន្ទាប់ពីបង្កើតមូលដ្ឋានលើប្រព័ន្ធគោលដៅ ក្រុមក្មេងទំនើង PuzzleMaker បន្តទម្លាក់ម៉ូឌុលមេរោគចំនួន 4 ដែលនីមួយៗទទួលខុសត្រូវសម្រាប់ដំណាក់កាលដាច់ដោយឡែកនៅក្នុងសង្វាក់វាយប្រហារ។ ទីមួយ ម៉ូឌុល stager បញ្ជាក់ពីការបំពានដោយជោគជ័យ និងជូនដំណឹងដល់ពួក Hacker ។ បន្ទាប់មកវាទាញយកម៉ូឌុលទម្លាក់នៅដំណាក់កាលបន្ទាប់ដែលទំនើបជាងមុនពីម៉ាស៊ីនមេពីចម្ងាយ។ វាបង្ហាញថាម៉ូឌុលដំណាក់កាលដែលបានទម្លាក់លើជនរងគ្រោះនីមួយៗមានប្លុកកំណត់រចនាសម្ព័ន្ធផ្ទាល់ខ្លួនដែលកំណត់ URL របស់ម៉ាស៊ីនមេ Command-and-Control, Session ID និងសោដែលត្រូវការដើម្បីឌិគ្រីបម៉ូឌុលមេរោគបន្ទាប់។
ម៉ូឌុល dropper ទាញយកឯកសារដែលអាចប្រតិបត្តិបានពីរនៅក្នុងថត %SYSTEM% នៃម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ WmiPrvMon.exe ត្រូវបានចុះឈ្មោះជាសេវាកម្ម ហើយវាមានមុខងារជាអ្នកបើកដំណើរការសម្រាប់ឯកសារផ្សេងទៀត ដែលត្រូវបានគេជឿថាជាបន្ទុកសំខាន់នៃការវាយប្រហារ។ វាត្រូវបានបញ្ជូនជាឯកសារមួយឈ្មោះ wmimon.dll ហើយមានសមត្ថភាពបង្កើតសែលពីចម្ងាយ។
សែលមាន URL រឹងដែលប្រើដើម្បីទៅដល់ម៉ាស៊ីនមេ C&C ហើយចរាចរណ៍ទាំងអស់រវាងម៉ាស៊ីនមេ និងមេរោគត្រូវបានអនុញ្ញាត និងអ៊ិនគ្រីប។ តាមរយៈសែលពីចម្ងាយ ក្រុមក្មេងទំនើង PuzzleMaker អាចរៀបចំដំណើរការនៅលើប្រព័ន្ធមេរោគ បង្ខំវាឱ្យចូលទៅក្នុងរបៀបគេង បញ្ជូនឯកសារបន្ថែម ឬដកទិន្នន័យដែលបានជ្រើសរើស ក៏ដូចជាបញ្ជាមេរោគឱ្យលុបខ្លួនវាផងដែរ។