Geng Jenayah Siber PuzzleMaker

Gelombang baharu serangan yang sangat disasarkan telah dikesan oleh penyelidik infosec. Ciri-ciri operasi itu tidak sepadan dengan mana-mana TTP (Taktik, Teknik dan Prosedur) kumpulan jenayah siber yang sedia ada. Kekurangan pertindihan dengan kempen serangan sebelumnya menyebabkan para penyelidik mengaitkan serangan yang diperhatikan kepada pelakon ancaman yang baru ditetapkan yang mereka namakan PuzzleMaker.

Vektor Kompromi Permulaan

Analisis mendedahkan bahawa penggodam PuzzleMaker bergantung pada kelemahan sifar hari yang terdapat dalam Google Chrome dan Microsoft Windows. Eksploitasi Chrome yang tepat tidak dapat ditentukan tetapi bukti mengikut keadaan menunjukkan kerentanan CVE-2021-21224 yang boleh menjejaskan binaan Chrome 90.0.4420.72. Eksploitasi khusus ini telah ditetapkan oleh Google pada 20 April 2021.

Walau bagaimanapun, kedua-dua kelemahan Windows yang digunakan dalam serangan PuzzleMaker telah dikenal pasti dan diberi sebutan CVE-2021-31955 dan CVE-2021-31956. Kedua-dua eksploitasi telah ditambal oleh Microsoft pada 8 Jun 2021.

CVE-2021-31955 ialah kelemahan pendedahan maklumat dalam ntoskrnl.exe. Ia berkaitan dengan ciri yang dipanggil SuperFetch yang diperkenalkan dengan Windows Vista. SuperFetch direka untuk mengurangkan masa muat pada sistem Windows dengan pramuat aplikasi tertentu yang sering digunakan ke dalam memori. CVE-2021-31956 digambarkan sebagai limpahan penimbal berasaskan timbunan dalam ntfs.sys.

Perisian Hasad PuzzleMaker

Selepas bertapak pada sistem yang disasarkan, kumpulan PuzzleMaker meneruskan untuk menggugurkan empat modul perisian hasad, setiap satu bertanggungjawab untuk peringkat berasingan dalam rantaian serangan. Pertama, modul peringkat mengesahkan pelanggaran yang berjaya dan memberitahu penggodam. Ia kemudian mengambil modul penitis peringkat seterusnya yang lebih canggih daripada pelayan jauh. Nampaknya modul pentas yang digugurkan pada setiap mangsa mengandungi gumpalan konfigurasi tersuai yang menentukan URL pelayan Perintah dan Kawalan, ID Sesi dan kunci yang diperlukan untuk menyahsulit modul perisian hasad seterusnya.

Modul penitis memuat turun dua fail boleh laku dalam folder %SYSTEM% mesin yang terjejas. WmiPrvMon.exe didaftarkan sebagai perkhidmatan dan ia berfungsi sebagai pelancar untuk fail lain, yang dipercayai sebagai muatan utama serangan itu. Ia dihantar sebagai fail bernama wmimon.dll dan mampu mewujudkan shell jauh.

Cangkang mengandungi URL berkod keras yang digunakan untuk mencapai pelayan C&C dan semua trafik antara pelayan dan perisian hasad dibenarkan dan disulitkan. Melalui cangkerang jauh, geng PuzzleMaker boleh memanipulasi proses pada sistem yang dijangkiti, memaksanya memasuki mod tidur, menghantar fail tambahan atau mengeksfiltrasi data yang dipilih, serta mengarahkan perisian hasad untuk memadamkan dirinya sendiri.