PuzzleMaker kibernetinių nusikaltimų gauja

Naują itin tikslinių atakų bangą aptiko infosec tyrėjai. Operacijos charakteristika neatitiko nė vieno iš jau susikūrusių elektroninių nusikaltimų grupių TTP (Tactics, Techniques and Procedures). Dėl nesutapimo su ankstesnėmis atakų kampanijomis tyrėjai pastebėtą ataką priskyrė naujai paskirtam grėsmės veikėjui, kurį pavadino „PuzzleMaker“.

Pradinis kompromiso vektorius

Analizė atskleidė, kad „PuzzleMaker“ įsilaužėliai rėmėsi „Google Chrome“ ir „Microsoft Windows“ aptiktais nulinės dienos pažeidžiamumais. Tikslių „Chrome“ išnaudojimų nepavyko nustatyti, tačiau netiesioginiai įrodymai rodo CVE-2021-21224 pažeidžiamumą, kuris gali turėti įtakos 90.0.4420.72 „Chrome“ versijai. Šį konkretų išnaudojimą „Google“ ištaisė 2021 m. balandžio 20 d.

Tačiau buvo nustatyti du „Windows“ pažeidžiamumai, naudojami PuzzleMaker atakoje, ir jiems priskirti pavadinimai CVE-2021-31955 ir CVE-2021-31956. Abu išnaudojimus pataisė „Microsoft“ 2021 m. birželio 8 d.

CVE-2021-31955 yra informacijos atskleidimo pažeidžiamumas faile ntoskrnl.exe. Jis susijęs su funkcija SuperFetch, kuri buvo pristatyta sistemoje Windows Vista. „SuperFetch“ buvo sukurta siekiant sumažinti „Windows“ sistemų įkėlimo laiką, iš anksto įkeliant tam tikras dažnai naudojamas programas į atmintį. CVE-2021-31956 aprašomas kaip krūvos buferio perpildymas ntfs.sys.

„ PuzzleMaker“ kenkėjiška programa

Įsitvirtinusi tikslinėje sistemoje, PuzzleMaker gauja atsisako keturių kenkėjiškų programų modulių, kurių kiekvienas atsakingas už atskirą atakos grandinės etapą. Pirma, scenos modulis patvirtina sėkmingą pažeidimą ir praneša įsilaužėliams. Tada jis iš nuotolinio serverio gauna sudėtingesnį, naujos pakopos lašintuvo modulį. Atrodo, kad kiekvienai aukai numestame scenarijaus modulyje yra pritaikyta konfigūracijos dėmė, kuri nustato komandų ir valdymo serverio URL, seanso ID ir raktus, reikalingus kitam kenkėjiškų programų moduliui iššifruoti.

Nuleidimo modulis atsisiunčia du vykdomuosius failus į pažeisto įrenginio aplanką %SYSTEM%. WmiPrvMon.exe yra užregistruota kaip paslauga ir veikia kaip kito failo paleidimo priemonė, kuri, kaip manoma, yra pagrindinė atakos apkrova. Jis pristatomas kaip failas pavadinimu wmimon.dll ir gali sukurti nuotolinį apvalkalą.

Korpuse yra užkoduotas URL, naudojamas C&C serveriui pasiekti, o visas srautas tarp serverio ir kenkėjiškos programos yra įgaliotas ir užšifruotas. Per nuotolinį apvalkalą PuzzleMaker gauja gali manipuliuoti užkrėstos sistemos procesais, priversti ją įjungti miego režimą, pristatyti papildomus failus ar išfiltruoti pasirinktus duomenis, taip pat įsakyti kenkėjiškajai programai pačiai ištrinti.