PuzzleMaker Cybercrime Gang

Descrição do PuzzleMaker Cybercrime Gang

Uma nova onda de ataques altamente direcionados foi detectada pelos pesquisadores de Infosec. As características da operação não condiziam com nenhum dos TTPs (Táticas, Técnicas e Procedimentos) dos grupos de cibercrimes já estabelecidos. A falta de sobreposição com as campanhas de ataque anteriores levou os pesquisadores a atribuir o ataque observado a um agente de ameaça recém-designado que eles chamaram de PuzzleMaker.

Vetor de Compromisso Inicial

A análise revelou que os hackers do PuzzleMaker dependiam de vulnerabilidades de dia zero encontradas no Google Chrome e no Microsoft Windows. Os exploits exatos do Chrome não puderam ser identificados, mas evidências circunstanciais apontam para a vulnerabilidade CVE-2021-21224 que pode afetar a compilação 90.0.4420.72 do Chrome. Este exploit específico foi corrigido pelo Google em 20 de abril de 2021.

No entanto, as duas vulnerabilidades do Windows empregadas no ataque PuzzleMaker foram identificadas e designadas como CVE-2021-31955 e CVE-2021-31956. Ambas as explorações foram corrigidas pela Microsoft em 8 de junho de 2021.

CVE-2021-31955 é uma vulnerabilidade de divulgação de informações no ntoskrnl.exe. Ele está relacionado a um recurso chamado SuperFetch que foi introduzido com o Windows Vista. O SuperFetch foi projetado para reduzir o tempo de carregamento em sistemas Windows, pré-carregando certos aplicativos usados com frequência na memória. CVE-2021-31956 é descrito como um estouro de buffer baseado em heap em ntfs.sys.

O PuzzleMaker Malware

Depois de estabelecer um ponto de apoio no sistema visado, a gangue do PuzzleMaker lança quatro módulos de malware, cada um responsável por um estágio separado na cadeia de ataque. Primeiro, um módulo stager confirma a violação bem-sucedida e notifica os hackers. Em seguida, ele busca um módulo dropper de próximo estágio mais sofisticado em um servidor remoto. Parece que o módulo stager colocado em cada vítima contém um blob de configuração personalizado que determina a URL do servidor de comando e controle, a ID da sessão e as chaves necessárias para descriptografar o próximo módulo de malware.

O módulo dropper baixa dois arquivos executáveis na pasta% SYSTEM% da máquina comprometida. O WmiPrvMon.exe é registrado como um serviço e funciona como um iniciador para o outro arquivo, que se acredita ser a carga útil principal do ataque. Ele é entregue como um arquivo denominado wmimon.dll e é capaz de estabelecer um shell remoto.

O shell contém um URL codificado usado para acessar o servidor C&C e todo o tráfego entre o servidor e o malware é autorizado e criptografado. Por meio do shell remoto, a gangue do PuzzleMaker pode manipular os processos no sistema infectado, forçá-lo a entrar no modo de hibernação, entregar arquivos adicionais ou exfiltrar dados escolhidos, bem como comandar o malware para se excluir.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.