PuzzleMaker Cybercrime Gang

En ny bølge av svært målrettede angrep ble oppdaget av infosec-forskere. Egenskapene til operasjonen samsvarte ikke med noen av TTP-ene (Taktikk, teknikker og prosedyrer) til de allerede etablerte nettkriminalitetsgruppene. Mangelen på overlapping med tidligere angrepskampanjer førte til at forskerne tilskrev det observerte angrepet til en nylig utpekt trusselaktør som de kalte PuzzleMaker.

Innledende kompromissvektor

Analyse avslørte at PuzzleMaker-hackerne stolte på nulldagssårbarheter funnet i Google Chrome og Microsoft Windows. De nøyaktige Chrome-utnyttelsene kunne ikke identifiseres, men omstendigheter peker mot CVE-2021-21224-sårbarheten som kan påvirke 90.0.4420.72 Chrome-bygget. Denne spesielle utnyttelsen ble fikset av Google 20. april 2021.

Imidlertid ble de to Windows-sårbarhetene brukt i PuzzleMaker-angrepet identifisert og ble tildelt betegnelsene CVE-2021-31955 og CVE-2021-31956. Begge utnyttelsene ble lappet av Microsoft 8. juni 2021.

CVE-2021-31955 er en sårbarhet for informasjonsavsløring i ntoskrnl.exe. Det er relatert til en funksjon kalt SuperFetch som ble introdusert med Windows Vista. SuperFetch ble designet for å senke lastetidene på Windows-systemer ved å forhåndslaste visse ofte brukte applikasjoner inn i minnet. CVE-2021-31956 er beskrevet som et heap-basert bufferoverløp i ntfs.sys.

The PuzzleMaker Malware

Etter å ha etablert fotfeste på det målrettede systemet, fortsetter PuzzleMaker-gjengen med å slippe fire malware-moduler som hver er ansvarlig for et eget stadium i angrepskjeden. Først bekrefter en stager-modul det vellykkede bruddet og varsler hackerne. Den henter deretter en mer sofistikert, neste trinn dropper-modul fra en ekstern server. Det ser ut til at stager-modulen som slippes på hvert offer inneholder en tilpasset konfigurasjonsblob som bestemmer URL-en til Command-and-Control-serveren, Session ID og nøklene som trengs for å dekryptere den neste malware-modulen.

Droppermodulen laster ned to kjørbare filer i %SYSTEM%-mappen på den kompromitterte maskinen. WmiPrvMon.exe er registrert som en tjeneste, og den fungerer som en oppstarter for den andre filen, som antas å være den viktigste nyttelasten for angrepet. Den leveres som en fil kalt wmimon.dll og er i stand til å etablere et eksternt skall.

Skallet inneholder en hardkodet URL som brukes til å nå C&C-serveren, og all trafikk mellom serveren og skadevare er autorisert og kryptert. Gjennom det eksterne skallet kan PuzzleMaker-gjengen manipulere prosessene på det infiserte systemet, tvinge det til å gå inn i dvalemodus, levere flere filer eller eksfiltrere utvalgte data, samt beordre skadelig programvare til å slette seg selv.