PuzzleMaker Cyberprzestępczy gang

Badacze infosec wykryli nową falę wysoce ukierunkowanych ataków. Charakterystyka operacji nie odpowiadała żadnej z TTP (taktyki, technik i procedur) już ustanowionych grup cyberprzestępczych. Brak pokrywania się z poprzednimi kampaniami ataków skłonił badaczy do przypisania zaobserwowanego ataku nowo wyznaczonemu podmiotowi zajmującemu się zagrożeniami, którego nazwali PuzzleMaker.

Początkowy wektor kompromisu

Analiza wykazała, że hakerzy PuzzleMaker polegali na lukach zero-day znalezionych w Google Chrome i Microsoft Windows. Nie można było dokładnie określić exploitów Chrome, ale poszlaki wskazują na lukę CVE-2021-21224, która może mieć wpływ na kompilację Chrome 90.0.4420.72. Ten konkretny exploit został naprawiony przez Google 20 kwietnia 2021 r.

Jednak dwie luki w systemie Windows wykorzystane w ataku PuzzleMaker zostały zidentyfikowane i otrzymały oznaczenia CVE-2021-31955 i CVE-2021-31956. Oba exploity zostały załatane przez Microsoft 8 czerwca 2021 r.

CVE-2021-31955 to usterka umożliwiająca ujawnienie informacji w pliku ntoskrnl.exe. Jest to związane z funkcją o nazwie SuperFetch, która została wprowadzona w systemie Windows Vista. SuperFetch został zaprojektowany w celu skrócenia czasu ładowania w systemach Windows poprzez wstępne ładowanie niektórych często używanych aplikacji do pamięci. CVE-2021-31956 jest opisany jako przepełnienie bufora oparte na stercie w pliku ntfs.sys.

Złośliwe oprogramowanie PuzzleMakera

Po zdobyciu przyczółka w docelowym systemie gang PuzzleMaker usuwa cztery moduły szkodliwego oprogramowania, z których każdy odpowiada za odrębny etap w łańcuchu ataków. Najpierw moduł wypychacza potwierdza udane włamanie i powiadamia hakerów. Następnie pobiera bardziej zaawansowany moduł droppera następnego etapu ze zdalnego serwera. Wygląda na to, że moduł stager upuszczony na każdą ofiarę zawiera dostosowany do potrzeb konfiguracyjny obiekt blob, który określa adres URL serwera Command-and-Control, identyfikator sesji oraz klucze potrzebne do odszyfrowania następnego modułu złośliwego oprogramowania.

Moduł droppera pobiera dwa pliki wykonywalne z folderu %SYSTEM% na zaatakowanej maszynie. WmiPrvMon.exe jest zarejestrowany jako usługa i działa jako program uruchamiający inny plik, który jest uważany za główny ładunek ataku. Jest dostarczany jako plik o nazwie wmimon.dll i może ustanowić zdalną powłokę.

Powłoka zawiera zakodowany na stałe adres URL używany do dotarcia do serwera C&C, a cały ruch między serwerem a złośliwym oprogramowaniem jest autoryzowany i szyfrowany. Poprzez zdalną powłokę gang PuzzleMaker może manipulować procesami w zainfekowanym systemie, zmuszać go do przejścia w tryb uśpienia, dostarczać dodatkowe pliki lub eksfiltrować wybrane dane, a także nakazać szkodliwemu oprogramowaniu samousunięcie się.