पजलमेकर साइबर अपराध गिरोह

इन्फोसेक अनुसन्धानकर्ताहरूले अत्यधिक लक्षित आक्रमणहरूको नयाँ लहर पत्ता लगाए। सञ्चालनका विशेषताहरू पहिले नै स्थापित साइबर अपराध समूहहरूको कुनै पनि TTP (रणनीति, प्रविधि र प्रक्रियाहरू) सँग मेल खाएनन्। अघिल्लो आक्रमण अभियानहरूसँग ओभरल्यापको अभावले अनुसन्धानकर्ताहरूलाई अवलोकन गरिएको आक्रमणलाई नयाँ नामित खतरा अभिनेतालाई श्रेय दिन प्रेरित गर्यो जसलाई उनीहरूले PuzzleMaker नाम दिए।

प्रारम्भिक सम्झौता भेक्टर

विश्लेषणले पत्ता लगायो कि पजलमेकर ह्याकरहरूले गुगल क्रोम र माइक्रोसफ्ट विन्डोजमा पाइने शून्य-दिन जोखिमहरूमा भर परेका थिए। सही क्रोम शोषणहरू इंगित गर्न सकिएन तर परिस्थितिजन्य प्रमाणहरूले CVE-2021-21224 जोखिम तर्फ औंल्याउँछ जसले 90.0.4420.72 क्रोम निर्माणलाई असर गर्न सक्छ। यो विशेष शोषण Google द्वारा अप्रिल २०, २०२१ मा तय गरिएको थियो।

यद्यपि, पजलमेकर आक्रमणमा नियोजित दुई विन्डोज कमजोरीहरू पहिचान गरियो र पदनामहरू CVE-2021-31955 र CVE-2021-31956 तोकियो। दुबै शोषण माइक्रोसफ्ट द्वारा जुन 8, 2021 मा प्याच गरिएको थियो।

CVE-2021-31955 ntoskrnl.exe मा जानकारी प्रकटीकरण जोखिम हो। यो SuperFetch भनिने सुविधासँग सम्बन्धित छ जुन Windows Vista सँग पेश गरिएको थियो। SuperFetch लाई विन्डोज प्रणालीहरूमा लोड समय कम गर्न को लागी डिजाइन गरिएको थियो केहि बारम्बार प्रयोग गरिएका अनुप्रयोगहरूलाई मेमोरीमा प्रिलोड गरेर। CVE-2021-31956 लाई ntfs.sys मा हिप-आधारित बफर ओभरफ्लोको रूपमा वर्णन गरिएको छ।

पजलमेकर मालवेयर

लक्षित प्रणालीमा खुट्टा स्थापित गरेपछि, पजलमेकर गिरोहले आक्रमण श्रृंखलामा छुट्टै चरणको लागि जिम्मेवार चार मालवेयर मोड्युलहरू छोड्न अगाडि बढ्छ। पहिलो, एक स्टेजर मोड्युलले सफल उल्लङ्घन पुष्टि गर्दछ र ह्याकरहरूलाई सूचित गर्दछ। त्यसपछि यसले रिमोट सर्भरबाट थप परिष्कृत, अर्को-चरण ड्रपर मोड्युल ल्याउँछ। यस्तो देखिन्छ कि प्रत्येक पीडितमा छाडिएको स्टेजर मोड्युलमा अनुकूलित कन्फिगरेसन ब्लब हुन्छ जसले आदेश-र-नियन्त्रण सर्भरको URL, सत्र ID, र अर्को मालवेयर मोड्युल डिक्रिप्ट गर्न आवश्यक कुञ्जीहरू निर्धारण गर्दछ।

ड्रपर मोड्युलले सम्झौता गरिएको मेसिनको %SYSTEM% फोल्डरमा दुई कार्यान्वयनयोग्य फाइलहरू डाउनलोड गर्दछ। WmiPrvMon.exe सेवाको रूपमा दर्ता गरिएको छ र यसले अर्को फाइलको लागि लन्चरको रूपमा कार्य गर्दछ, जुन आक्रमणको मुख्य पेलोड मानिन्छ। यो wmimon.dll नामक फाइलको रूपमा डेलिभर गरिएको छ र रिमोट शेल स्थापना गर्न सक्षम छ।

शेलले C&C सर्भरमा पुग्न प्रयोग गरिएको हार्डकोड गरिएको URL समावेश गर्दछ र सर्भर र मालवेयर बीचको सबै ट्राफिक अधिकृत र गुप्तिकरण गरिएको छ। रिमोट शेल मार्फत, PuzzleMaker गिरोहले संक्रमित प्रणालीमा प्रक्रियाहरू हेरफेर गर्न सक्छ, यसलाई स्लीप मोडमा प्रवेश गर्न, थप फाइलहरू डेलिभर गर्न वा छानिएको डेटा बाहिर निकाल्न, साथै मालवेयरलाई आफैं मेटाउन आदेश दिन सक्छ।