PuzzleMaker Cybercrime Gang

រលកថ្មីនៃការវាយប្រហារដែលមានគោលដៅខ្ពស់ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវ infosec ។ លក្ខណៈនៃប្រតិបត្តិការនេះមិនត្រូវគ្នានឹង TTPs ណាមួយ (យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី) នៃក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានបង្កើតឡើងរួចហើយនោះទេ។ កង្វះនៃការត្រួតស៊ីគ្នាជាមួយនឹងយុទ្ធនាការវាយប្រហារពីមុនបាននាំឱ្យអ្នកស្រាវជ្រាវសន្មតថាការវាយប្រហារដែលបានសង្កេតឃើញទៅជាតួអង្គគំរាមកំហែងដែលបានកំណត់ថ្មីដែលពួកគេដាក់ឈ្មោះថា PuzzleMaker ។

វ៉ិចទ័រសម្របសម្រួលដំបូង

ការវិភាគបានបង្ហាញថាក្រុម Hacker PuzzleMaker ពឹងផ្អែកលើភាពងាយរងគ្រោះសូន្យថ្ងៃដែលរកឃើញនៅក្នុង Google Chrome និង Microsoft Windows ។ ការកេងប្រវ័ញ្ចរបស់ Chrome ពិតប្រាកដមិនអាចត្រូវបានបញ្ជាក់បានទេប៉ុន្តែភស្តុតាងតាមកាលៈទេសៈចង្អុលទៅភាពងាយរងគ្រោះ CVE-2021-21224 ដែលអាចប៉ះពាល់ដល់ការបង្កើត 90.0.4420.72 Chrome ។ ការកេងប្រវ័ញ្ចពិសេសនេះត្រូវបានជួសជុលដោយ Google នៅថ្ងៃទី 20 ខែមេសា ឆ្នាំ 2021។

ទោះជាយ៉ាងណាក៏ដោយ ភាពងាយរងគ្រោះរបស់ Windows ទាំងពីរដែលប្រើក្នុងការវាយប្រហារ PuzzleMaker ត្រូវបានកំណត់អត្តសញ្ញាណ ហើយត្រូវបានគេចាត់តាំងជា CVE-2021-31955 និង CVE-2021-31956 ។ ការកេងប្រវ័ញ្ចទាំងពីរនេះត្រូវបានជួសជុលដោយក្រុមហ៊ុន Microsoft នៅថ្ងៃទី 8 ខែមិថុនា ឆ្នាំ 2021។

CVE-2021-31955 គឺជាភាពងាយរងគ្រោះនៃការបញ្ចេញព័ត៌មាននៅក្នុង ntoskrnl.exe ។ វាទាក់ទងនឹងមុខងារមួយហៅថា SuperFetch ដែលត្រូវបានណែនាំជាមួយ Windows Vista ។ SuperFetch ត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយពេលវេលាផ្ទុកនៅលើប្រព័ន្ធ Windows ដោយផ្ទុកកម្មវិធីដែលប្រើញឹកញាប់មួយចំនួនជាមុនទៅក្នុងអង្គចងចាំ។ CVE-2021-31956 ត្រូវ​បាន​ពិពណ៌នា​ថា​ជា​ការ​លើស​ចំណុះ​បណ្តុំ​ដែល​មាន​មូលដ្ឋាន​នៅ​ក្នុង ntfs.sys។

មេរោគ PuzzleMaker

បន្ទាប់ពីបង្កើតមូលដ្ឋានលើប្រព័ន្ធគោលដៅ ក្រុមក្មេងទំនើង PuzzleMaker បន្តទម្លាក់ម៉ូឌុលមេរោគចំនួន 4 ដែលនីមួយៗទទួលខុសត្រូវសម្រាប់ដំណាក់កាលដាច់ដោយឡែកនៅក្នុងសង្វាក់វាយប្រហារ។ ទីមួយ ម៉ូឌុល stager បញ្ជាក់ពីការបំពានដោយជោគជ័យ និងជូនដំណឹងដល់ពួក Hacker ។ បន្ទាប់​មក​វា​ទាញ​យក​ម៉ូឌុល​ទម្លាក់​នៅ​ដំណាក់កាល​បន្ទាប់​ដែល​ទំនើប​ជាង​មុន​ពី​ម៉ាស៊ីន​មេ​ពី​ចម្ងាយ។ វាបង្ហាញថាម៉ូឌុលដំណាក់កាលដែលបានទម្លាក់លើជនរងគ្រោះនីមួយៗមានប្លុកកំណត់រចនាសម្ព័ន្ធផ្ទាល់ខ្លួនដែលកំណត់ URL របស់ម៉ាស៊ីនមេ Command-and-Control, Session ID និងសោដែលត្រូវការដើម្បីឌិគ្រីបម៉ូឌុលមេរោគបន្ទាប់។

ម៉ូឌុល dropper ទាញយកឯកសារដែលអាចប្រតិបត្តិបានពីរនៅក្នុងថត %SYSTEM% នៃម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ WmiPrvMon.exe ត្រូវបានចុះឈ្មោះជាសេវាកម្ម ហើយវាមានមុខងារជាអ្នកបើកដំណើរការសម្រាប់ឯកសារផ្សេងទៀត ដែលត្រូវបានគេជឿថាជាបន្ទុកសំខាន់នៃការវាយប្រហារ។ វា​ត្រូវ​បាន​បញ្ជូន​ជា​ឯកសារ​មួយ​ឈ្មោះ wmimon.dll ហើយ​មាន​សមត្ថភាព​បង្កើត​សែល​ពី​ចម្ងាយ។

សែលមាន URL រឹងដែលប្រើដើម្បីទៅដល់ម៉ាស៊ីនមេ C&C ហើយចរាចរណ៍ទាំងអស់រវាងម៉ាស៊ីនមេ និងមេរោគត្រូវបានអនុញ្ញាត និងអ៊ិនគ្រីប។ តាមរយៈសែលពីចម្ងាយ ក្រុមក្មេងទំនើង PuzzleMaker អាចរៀបចំដំណើរការនៅលើប្រព័ន្ធមេរោគ បង្ខំវាឱ្យចូលទៅក្នុងរបៀបគេង បញ្ជូនឯកសារបន្ថែម ឬដកទិន្នន័យដែលបានជ្រើសរើស ក៏ដូចជាបញ្ជាមេរោគឱ្យលុបខ្លួនវាផងដែរ។