PuzzleMaker Cybercrime Gang

Uma nova onda de ataques altamente direcionados foi detectada pelos pesquisadores de Infosec. As características da operação não condiziam com nenhum dos TTPs (Táticas, Técnicas e Procedimentos) dos grupos de cibercrimes já estabelecidos. A falta de sobreposição com as campanhas de ataque anteriores levou os pesquisadores a atribuir o ataque observado a um agente de ameaça recém-designado que eles chamaram de PuzzleMaker.

Vetor de Compromisso Inicial

A análise revelou que os hackers do PuzzleMaker dependiam de vulnerabilidades de dia zero encontradas no Google Chrome e no Microsoft Windows. Os exploits exatos do Chrome não puderam ser identificados, mas evidências circunstanciais apontam para a vulnerabilidade CVE-2021-21224 que pode afetar a compilação 90.0.4420.72 do Chrome. Este exploit específico foi corrigido pelo Google em 20 de abril de 2021.

No entanto, as duas vulnerabilidades do Windows empregadas no ataque PuzzleMaker foram identificadas e designadas como CVE-2021-31955 e CVE-2021-31956. Ambas as explorações foram corrigidas pela Microsoft em 8 de junho de 2021.

CVE-2021-31955 é uma vulnerabilidade de divulgação de informações no ntoskrnl.exe. Ele está relacionado a um recurso chamado SuperFetch que foi introduzido com o Windows Vista. O SuperFetch foi projetado para reduzir o tempo de carregamento em sistemas Windows, pré-carregando certos aplicativos usados com frequência na memória. CVE-2021-31956 é descrito como um estouro de buffer baseado em heap em ntfs.sys.

O PuzzleMaker Malware

Depois de estabelecer um ponto de apoio no sistema visado, a gangue do PuzzleMaker lança quatro módulos de malware, cada um responsável por um estágio separado na cadeia de ataque. Primeiro, um módulo stager confirma a violação bem-sucedida e notifica os hackers. Em seguida, ele busca um módulo dropper de próximo estágio mais sofisticado em um servidor remoto. Parece que o módulo stager colocado em cada vítima contém um blob de configuração personalizado que determina a URL do servidor de comando e controle, a ID da sessão e as chaves necessárias para descriptografar o próximo módulo de malware.

O módulo dropper baixa dois arquivos executáveis na pasta% SYSTEM% da máquina comprometida. O WmiPrvMon.exe é registrado como um serviço e funciona como um iniciador para o outro arquivo, que se acredita ser a carga útil principal do ataque. Ele é entregue como um arquivo denominado wmimon.dll e é capaz de estabelecer um shell remoto.

O shell contém um URL codificado usado para acessar o servidor C&C e todo o tráfego entre o servidor e o malware é autorizado e criptografado. Por meio do shell remoto, a gangue do PuzzleMaker pode manipular os processos no sistema infectado, forçá-lo a entrar no modo de hibernação, entregar arquivos adicionais ou exfiltrar dados escolhidos, bem como comandar o malware para se excluir.