Gang de criminalitate cibernetică PuzzleMaker

Un nou val de atacuri foarte țintite a fost detectat de cercetătorii Infosec. Caracteristicile operațiunii nu se potriveau cu niciunul dintre TTP-urile (Tactici, Tehnici și Proceduri) ale grupurilor de criminalitate cibernetică deja constituite. Lipsa suprapunerii cu campaniile anterioare de atac i-a determinat pe cercetători să atribuie atacul observat unui actor de amenințare nou desemnat, pe care l-au numit PuzzleMaker.

Vector de compromis inițial

Analiza a arătat că hackerii PuzzleMaker s-au bazat pe vulnerabilități zero-day găsite în Google Chrome și Microsoft Windows. Exploatările Chrome exacte nu au putut fi identificate, dar dovezile circumstanțiale indică vulnerabilitatea CVE-2021-21224 care ar putea afecta versiunea Chrome 90.0.4420.72. Acest exploit special a fost remediat de Google pe 20 aprilie 2021.

Cu toate acestea, cele două vulnerabilități Windows folosite în atacul PuzzleMaker au fost identificate și li s-au atribuit denumirile CVE-2021-31955 și CVE-2021-31956. Ambele exploit-uri au fost corectate de Microsoft pe 8 iunie 2021.

CVE-2021-31955 este o vulnerabilitate de divulgare a informațiilor în ntoskrnl.exe. Este legat de o caracteristică numită SuperFetch care a fost introdusă cu Windows Vista. SuperFetch a fost conceput pentru a reduce timpii de încărcare pe sistemele Windows prin preîncărcarea în memorie a anumitor aplicații utilizate frecvent. CVE-2021-31956 este descris ca un buffer overflow bazat pe heap în ntfs.sys.

Programul malware PuzzleMaker

După ce a stabilit un punct de sprijin pe sistemul vizat, gașca PuzzleMaker procedează la eliminarea a patru module malware, fiecare responsabil pentru o etapă separată din lanțul de atac. În primul rând, un modul Stager confirmă încălcarea reușită și informează hackerii. Apoi preia un modul dropper mai sofisticat, de etapa următoare de la un server la distanță. Se pare că modulul stager aruncat pe fiecare victimă conține un blob de configurare personalizat care determină adresa URL a serverului de comandă și control, ID-ul sesiunii și cheile necesare pentru a decripta următorul modul malware.

Modulul dropper descarcă două fișiere executabile în folderul %SYSTEM% al mașinii compromise. WmiPrvMon.exe este înregistrat ca un serviciu și funcționează ca un lansator pentru celălalt fișier, despre care se crede că este sarcina utilă principală a atacului. Este livrat ca un fișier numit wmimon.dll și este capabil să stabilească un shell la distanță.

Shell-ul conține o adresă URL codificată folosită pentru a ajunge la serverul C&C și tot traficul dintre server și malware este autorizat și criptat. Prin intermediul shell-ului de la distanță, gașca PuzzleMaker poate manipula procesele din sistemul infectat, îl poate forța să intre în modul de repaus, să livreze fișiere suplimentare sau să exfiltreze datele alese, precum și să comandă malware-ului să se ștergă singur.