PuzzleMaker kibernoziegumu banda

Infosec pētnieki atklāja jaunu ļoti mērķtiecīgu uzbrukumu vilni. Operācijas raksturojums neatbilda nevienam no jau izveidoto kibernoziedzības grupu TTP (Tactics, Techniques and Procedures). Pārklāšanās trūkums ar iepriekšējām uzbrukuma kampaņām lika pētniekiem piedēvēt novēroto uzbrukumu nesen izraudzītam apdraudējuma dalībniekam, kuru viņi nosauca par PuzzleMaker.

Sākotnējais kompromisa vektors

Analīze atklāja, ka PuzzleMaker hakeri paļāvās uz nulles dienas ievainojamību, kas tika atrasta pārlūkprogrammās Google Chrome un Microsoft Windows. Nevarēja precīzi noteikt Chrome darbības veidus, taču netieši pierādījumi norāda uz CVE-2021-21224 ievainojamību, kas varētu ietekmēt Chrome versiju 90.0.4420.72. Šo konkrēto izmantošanu Google izlaboja 2021. gada 20. aprīlī.

Tomēr tika identificētas divas Windows ievainojamības, kas tika izmantotas PuzzleMaker uzbrukumā, un tām tika piešķirti apzīmējumi CVE-2021-31955 un CVE-2021-31956. Abus izlietojumus Microsoft laboja 2021. gada 8. jūnijā.

CVE-2021-31955 ir ntoskrnl.exe informācijas atklāšanas ievainojamība. Tas ir saistīts ar līdzekli SuperFetch, kas tika ieviests operētājsistēmā Windows Vista. SuperFetch tika izstrādāts, lai samazinātu Windows sistēmu ielādes laiku, iepriekš ielādējot noteiktas bieži lietotas lietojumprogrammas atmiņā. CVE-2021-31956 ir aprakstīts kā kaudzes bufera pārpilde failā ntfs.sys.

PuzzleMaker ļaunprātīga programmatūra

Pēc mērķa sistēmas nostiprināšanas PuzzleMaker grupa atmet četrus ļaunprātīgas programmatūras moduļus, no kuriem katrs ir atbildīgs par atsevišķu uzbrukuma ķēdes posmu. Pirmkārt, skatuves modulis apstiprina veiksmīgo pārkāpumu un informē hakerus. Pēc tam tas no attālā servera ienes sarežģītāku nākamās pakāpes pilinātāja moduli. Šķiet, ka katram upurim nomestajā pakāpju modulī ir pielāgota konfigurācijas lāse, kas nosaka Command-and-Control servera URL, sesijas ID un atslēgas, kas nepieciešamas nākamā ļaunprogrammatūras moduļa atšifrēšanai.

Pilinātāja modulis lejupielādē divus izpildāmos failus apdraudētās iekārtas mapē %SYSTEM%. WmiPrvMon.exe ir reģistrēts kā pakalpojums, un tas darbojas kā palaidējs otram failam, kas, domājams, ir uzbrukuma galvenā slodze. Tas tiek piegādāts kā fails ar nosaukumu wmimon.dll un spēj izveidot attālo apvalku.

Apvalks satur cieto kodu, ko izmanto, lai sasniegtu C&C serveri, un visa trafika starp serveri un ļaunprātīgo programmatūru ir autorizēta un šifrēta. Izmantojot attālo čaulu, PuzzleMaker grupa var manipulēt ar procesiem inficētajā sistēmā, piespiest tai pāriet miega režīmā, piegādāt papildu failus vai izfiltrēt izvēlētos datus, kā arī pavēlēt ļaunprogrammatūrai sevi izdzēst.