PuzzleMaker Cybercrime Gang

Исследователи информационной безопасности зафиксировали новую волну узконаправленных атак. Характеристики операции не соответствовали ни одной из ТТП (тактики, методов и процедур) уже созданных киберпреступных групп. Отсутствие совпадения с предыдущими кампаниями по атакам привело к тому, что исследователи приписали наблюдаемую атаку недавно назначенному злоумышленнику, которого они назвали PuzzleMaker.

Начальный вектор компромисса

Анализ показал, что хакеры PuzzleMaker использовали уязвимости нулевого дня, обнаруженные в Google Chrome и Microsoft Windows. Точные эксплойты Chrome не могут быть определены, но косвенные доказательства указывают на уязвимость CVE-2021-21224, которая может повлиять на сборку Chrome 90.0.4420.72. Этот конкретный эксплойт был исправлен Google 20 апреля 2021 года.

Однако две уязвимости Windows, использованные в атаке PuzzleMaker, были идентифицированы и получили обозначения CVE-2021-31955 и CVE-2021-31956. Оба эксплойта были исправлены Microsoft 8 июня 2021 года.

CVE-2021-31955 - это уязвимость, связанная с раскрытием информации в файле ntoskrnl.exe. Это связано с функцией SuperFetch, появившейся в Windows Vista. SuperFetch был разработан для сокращения времени загрузки в системах Windows за счет предварительной загрузки некоторых часто используемых приложений в память. CVE-2021-31956 описывается как переполнение буфера на основе кучи в ntfs.sys.

Вредоносное ПО PuzzleMaker

Установив точку опоры в целевой системе, банда PuzzleMaker приступает к удалению четырех вредоносных модулей, каждый из которых отвечает за отдельный этап в цепочке атаки. Во-первых, модуль stager подтверждает успешность взлома и уведомляет хакеров. Затем он получает более сложный дроппер-модуль следующего этапа с удаленного сервера. Похоже, что модуль stager, сброшенный на каждую жертву, содержит настроенный BLOB-объект конфигурации, который определяет URL-адрес сервера Command-and-Control, идентификатор сеанса и ключи, необходимые для расшифровки следующего модуля вредоносного ПО.

Модуль-дроппер загружает два исполняемых файла в папку% SYSTEM% скомпрометированной машины. WmiPrvMon.exe зарегистрирован как служба и функционирует как средство запуска для другого файла, который считается основной полезной нагрузкой атаки. Он поставляется в виде файла с именем wmimon.dll и может устанавливать удаленную оболочку.

Оболочка содержит жестко запрограммированный URL-адрес, используемый для доступа к C&C серверу, и весь трафик между сервером и вредоносной программой авторизован и зашифрован. Через удаленную оболочку банда PuzzleMaker может манипулировать процессами в зараженной системе, заставлять ее переходить в спящий режим, доставлять дополнительные файлы или извлекать выбранные данные, а также приказывать вредоносному ПО удалить себя.