Združba za kibernetski kriminal PuzzleMaker
Raziskovalci infoseca so odkrili nov val zelo usmerjenih napadov. Značilnosti operacije se niso ujemale z nobenim od TTP-jev (Taktike, tehnike in postopki) že uveljavljenih skupin kibernetskega kriminala. Zaradi pomanjkanja prekrivanja s prejšnjimi napadi so raziskovalci pripisali opaženi napad na novo imenovanemu akterju grožnje, ki so ga poimenovali PuzzleMaker.
Začetni kompromisni vektor
Analiza je pokazala, da so se hekerji PuzzleMaker zanašali na ranljivosti ničelnega dne, ki so jih našli v brskalnikih Google Chrome in Microsoft Windows. Natančnih izkoriščanj Chroma ni bilo mogoče natančno določiti, vendar posredni dokazi kažejo na ranljivost CVE-2021-21224, ki bi lahko vplivala na gradnjo Chroma 90.0.4420.72. To posebno izkoriščanje je Google popravil 20. aprila 2021.
Vendar sta bili ugotovljeni dve ranljivosti sistema Windows, uporabljeni pri napadu PuzzleMaker, ki jima je bila dodeljena oznaka CVE-2021-31955 in CVE-2021-31956. Oba izkorišča je Microsoft popravil 8. junija 2021.
CVE-2021-31955 je ranljivost za razkritje informacij v ntoskrnl.exe. Povezan je s funkcijo, imenovano SuperFetch, ki je bila predstavljena z operacijskim sistemom Windows Vista. SuperFetch je bil zasnovan tako, da zmanjša čas nalaganja v sistemih Windows s prednalaganjem nekaterih pogosto uporabljenih aplikacij v pomnilnik. CVE-2021-31956 je v ntfs.sys opisan kot preliv medpomnilnika na podlagi kopice.
Zlonamerna programska oprema PuzzleMaker
Po vzpostavitvi opore na ciljnem sistemu skupina PuzzleMaker nadaljuje z odpuščanjem štirih modulov zlonamerne programske opreme, od katerih je vsak odgovoren za ločeno stopnjo v verigi napadov. Najprej modul stager potrdi uspešno kršitev in obvesti hekerje. Nato z oddaljenega strežnika pridobi bolj izpopolnjen modul kapalke naslednje stopnje. Zdi se, da modul stager, ki je spuščen na vsako žrtev, vsebuje prilagojeno konfiguracijsko kopijo, ki določa URL strežnika za upravljanje in nadzor, ID seje in ključe, potrebne za dešifriranje naslednjega modula zlonamerne programske opreme.
Modul dropper prenese dve izvedljivi datoteki v mapo %SYSTEM% ogrožene naprave. WmiPrvMon.exe je registriran kot storitev in deluje kot zaganjalnik za drugo datoteko, za katero se domneva, da je glavna koristna obremenitev napada. Dostavljen je kot datoteka z imenom wmimon.dll in lahko vzpostavi oddaljeno lupino.
Lupina vsebuje trdo kodiran URL, ki se uporablja za dostop do strežnika C&C, ves promet med strežnikom in zlonamerno programsko opremo pa je avtoriziran in šifriran. Preko oddaljene lupine lahko skupina PuzzleMaker manipulira s procesi v okuženem sistemu, ga prisili, da preide v stanje mirovanja, dostavi dodatne datoteke ali izloči izbrane podatke ter ukaže zlonamerni programski opremi, da se sama izbriše.
