PuzzleMaker 사이버 범죄 집단

Infosec 연구원들이 고도로 표적화 된 공격의 새로운 물결을 발견했습니다. 작전의 특성은 이미 확립 된 사이버 범죄 그룹의 TTP (전술, 기술 및 절차)와 일치하지 않았습니다. 이전 공격 캠페인과 중복되지 않기 때문에 연구원들은 관찰 된 공격을 그들이 PuzzleMaker로 명명 한 새로 지정된 위협 행위자에 기인했습니다.

초기 침해 벡터

분석에 따르면 PuzzleMaker 해커는 Google Chrome 및 Microsoft Windows에서 발견되는 제로 데이 취약점에 의존했습니다. 정확한 Chrome 익스플로잇은 정확히 파악할 수 없지만 상황에 따른 증거는 90.0.4420.72 Chrome 빌드에 영향을 미칠 수있는 CVE-2021-21224 취약성을 가리 킵니다. 이 특정 익스플로잇은 2021 년 4 월 20 일에 Google에 의해 수정되었습니다.

그러나 PuzzleMaker 공격에 사용 된 두 가지 Windows 취약성이 확인되어 CVE-2021-31955 및 CVE-2021-31956이라는 명칭이 지정되었습니다. 두 익스플로잇은 모두 2021 년 6 월 8 일에 Microsoft에 의해 패치되었습니다.

CVE-2021-31955는 ntoskrnl.exe의 정보 유출 취약성입니다. Windows Vista에 도입 된 SuperFetch라는 기능과 관련이 있습니다. SuperFetch는 자주 사용되는 특정 응용 프로그램을 메모리에 미리로드하여 Windows 시스템의로드 시간을 줄 이도록 설계되었습니다. CVE-2021-31956은 ntfs.sys에서 힙 기반 버퍼 오버플로로 설명됩니다.

PuzzleMaker 악성 코드

표적 시스템에 발판을 마련한 후, PuzzleMaker 갱은 공격 체인에서 각각 별도의 단계를 담당하는 4 개의 악성 코드 모듈을 드롭합니다. 먼저 스테이 저 모듈이 성공적인 침해를 확인하고 해커에게 알립니다. 그런 다음 원격 서버에서보다 정교한 다음 단계 드로퍼 모듈을 가져옵니다. 각 피해자에 드롭 된 스테이 저 모듈에는 Command-and-Control 서버의 URL, 세션 ID 및 다음 맬웨어 모듈을 해독하는 데 필요한 키를 결정하는 사용자 지정 구성 Blob이 포함되어있는 것으로 보입니다.

드롭퍼 모듈은 손상된 시스템의 % SYSTEM % 폴더에 두 개의 실행 파일을 다운로드합니다. WmiPrvMon.exe는 서비스로 등록되어 있으며 공격의 주요 페이로드로 여겨지는 다른 파일의 실행기 역할을합니다. wmimon.dll이라는 파일로 제공되며 원격 쉘을 설정할 수 있습니다.

셸에는 C & C 서버에 도달하는 데 사용되는 하드 코딩 된 URL이 포함되어 있으며 서버와 멀웨어 간의 모든 트래픽이 인증되고 암호화됩니다. 원격 셸을 통해 PuzzleMaker 갱은 감염된 시스템의 프로세스를 조작하고, 강제로 절전 모드로 전환하고, 추가 파일을 제공하거나 선택한 데이터를 유출하고, 악성 코드가 스스로를 삭제하도록 명령 할 수 있습니다.