Gang pre počítačovú kriminalitu PuzzleMaker
Výskumníci spoločnosti Infosec zaznamenali novú vlnu vysoko cielených útokov. Charakteristiky operácie nezodpovedali žiadnemu z TTP (taktiky, techniky a postupov) už zavedených skupín kyberzločinu. Neexistencia prekrývania s predchádzajúcimi útočnými kampaňami viedla výskumníkov k tomu, že pozorovaný útok pripísali novo určenému aktérovi hrozby, ktorého nazvali PuzzleMaker.
Počiatočný vektor kompromisu
Analýza odhalila, že hackeri PuzzleMaker sa spoliehali na zero-day zraniteľnosti nájdené v prehliadači Google Chrome a Microsoft Windows. Presné zneužitia prehliadača Chrome sa nepodarilo presne určiť, ale nepriame dôkazy poukazujú na chybu zabezpečenia CVE-2021-21224, ktorá by mohla ovplyvniť zostavu prehliadača Chrome 90.0.4420.72. Tento konkrétny exploit bol opravený spoločnosťou Google 20. apríla 2021.
Boli však identifikované dve zraniteľnosti systému Windows použité pri útoku PuzzleMaker a boli im priradené označenia CVE-2021-31955 a CVE-2021-31956. Oba exploity boli opravené spoločnosťou Microsoft 8. júna 2021.
CVE-2021-31955 je chyba zabezpečenia pri sprístupnení informácií v súbore ntoskrnl.exe. Súvisí s funkciou nazývanou SuperFetch, ktorá bola predstavená so systémom Windows Vista. SuperFetch bol navrhnutý tak, aby skrátil časy načítania v systémoch Windows vopred načítaním určitých často používaných aplikácií do pamäte. CVE-2021-31956 je opísaný ako pretečenie vyrovnávacej pamäte založené na halde v ntfs.sys.
Malvér PuzzleMaker
Po vybudovaní oporu v cieľovom systéme gang PuzzleMaker pristúpi k vypusteniu štyroch malvérových modulov, z ktorých každý je zodpovedný za samostatnú fázu v reťazci útokov. Po prvé, modul stager potvrdí úspešné narušenie a upozorní hackerov. Potom získa sofistikovanejší modul dropper ďalšej fázy zo vzdialeného servera. Zdá sa, že modul stager pustený na každú obeť obsahuje prispôsobený konfiguračný blob, ktorý určuje adresu URL servera Command-and-Control, ID relácie a kľúče potrebné na dešifrovanie ďalšieho modulu škodlivého softvéru.
Modul dropper stiahne dva spustiteľné súbory v priečinku %SYSTEM% napadnutého počítača. WmiPrvMon.exe je zaregistrovaný ako služba a funguje ako spúšťač pre iný súbor, ktorý je považovaný za hlavný náklad útoku. Dodáva sa ako súbor s názvom wmimon.dll a je schopný vytvoriť vzdialený shell.
Shell obsahuje pevne zakódovanú adresu URL používanú na dosiahnutie servera C&C a všetka komunikácia medzi serverom a škodlivým softvérom je autorizovaná a šifrovaná. Prostredníctvom vzdialeného shellu môže skupina PuzzleMaker manipulovať s procesmi v infikovanom systéme, prinútiť ho prejsť do režimu spánku, doručiť ďalšie súbory alebo exfiltrovať vybrané údaje, ako aj prikázať malvéru, aby sa sám vymazal.
