PuzzleMaker Cybercrime Gang

Een nieuwe golf van zeer gerichte aanvallen werd gedetecteerd door infosec-onderzoekers. De kenmerken van de operatie kwamen niet overeen met de TTP's (Tactics, Techniques and Procedures) van de reeds gevestigde cybercrimegroepen. Het gebrek aan overlap met eerdere aanvalscampagnes bracht de onderzoekers ertoe de waargenomen aanval toe te schrijven aan een nieuw aangewezen dreigingsactor die ze PuzzleMaker noemden.

Initiële Compromis Vector

Uit analyse bleek dat de PuzzleMaker-hackers vertrouwden op zero-day-kwetsbaarheden in Google Chrome en Microsoft Windows. De exacte Chrome-exploits konden niet worden vastgesteld, maar indirect bewijs wijst in de richting van de CVE-2021-21224-kwetsbaarheid die de Chrome-build 90.0.4420.72 zou kunnen beïnvloeden. Deze specifieke exploit is op 20 april 2021 door Google verholpen.

De twee Windows-kwetsbaarheden die bij de PuzzleMaker-aanval werden gebruikt, werden echter geïdentificeerd en kregen de aanduidingen CVE-2021-31955 en CVE-2021-31956. Beide exploits zijn op 8 juni 2021 door Microsoft gepatcht.

CVE-2021-31955 is een kwetsbaarheid voor het vrijgeven van informatie in de ntoskrnl.exe. Het is gerelateerd aan een functie genaamd SuperFetch die werd geïntroduceerd met Windows Vista. SuperFetch is ontworpen om de laadtijden op Windows-systemen te verlagen door bepaalde veelgebruikte applicaties vooraf in het geheugen te laden. CVE-2021-31956 wordt beschreven als een op heap gebaseerde bufferoverloop in ntfs.sys.

De PuzzleMaker-malware

Nadat ze voet aan de grond hebben gekregen op het doelsysteem, dropt de PuzzleMaker-bende vier malwaremodules die elk verantwoordelijk zijn voor een afzonderlijke fase in de aanvalsketen. Ten eerste bevestigt een stager-module de succesvolle inbreuk en stelt de hackers op de hoogte. Vervolgens haalt het een meer geavanceerde dropper-module van de volgende fase op van een externe server. Het lijkt erop dat de stager-module die op elk slachtoffer is gevallen, een aangepaste configuratie-blob bevat die de URL van de Command-and-Control-server, de sessie-ID en de sleutels die nodig zijn om de volgende malwaremodule te decoderen, bepaalt.

De dropper-module downloadt twee uitvoerbare bestanden in de map %SYSTEM% van de besmette computer. De WmiPrvMon.exe is geregistreerd als een service en het functioneert als een opstartprogramma voor het andere bestand, waarvan wordt aangenomen dat het de belangrijkste payload van de aanval is. Het wordt geleverd als een bestand met de naam wmimon.dll en kan een externe shell opzetten.

De shell bevat een hardcoded URL die wordt gebruikt om de C&C-server te bereiken en al het verkeer tussen de server en de malware is geautoriseerd en versleuteld. Via de externe shell kan de PuzzleMaker-bende de processen op het geïnfecteerde systeem manipuleren, het in slaapstand dwingen, extra bestanden leveren of gekozen gegevens exfiltreren, en de malware opdracht geven zichzelf te verwijderen.