Threat Database Advanced Persistent Threat (APT) Banda e krimit kibernetik PuzzleMaker

Banda e krimit kibernetik PuzzleMaker

Një valë e re sulmesh me shënjestër të lartë u zbulua nga studiuesit e infosec. Karakteristikat e operacionit nuk përputheshin me asnjë nga TTP (Taktika, Teknika dhe Procedura) të grupeve tashmë të krijuara të krimit kibernetik. Mungesa e mbivendosjes me fushatat e mëparshme të sulmit bëri që studiuesit t'ia atribuojnë sulmin e vëzhguar një aktori kërcënimi të sapocaktuar që ata e quajtën PuzzleMaker.

Vektori fillestar i kompromisit

Analiza zbuloi se hakerët e PuzzleMaker mbështeteshin në dobësitë e ditës zero të gjetura në Google Chrome dhe Microsoft Windows. Shfrytëzimi i saktë i Chrome nuk mund të identifikohej, por provat rrethanore tregojnë për cenueshmërinë CVE-2021-21224 që mund të ndikojë në ndërtimin e Chrome 90.0.4420.72. Ky shfrytëzim i veçantë u rregullua nga Google në 20 Prill 2021.

Sidoqoftë, dy dobësitë e Windows të përdorura në sulmin PuzzleMaker u identifikuan dhe iu caktuan emërtimet CVE-2021-31955 dhe CVE-2021-31956. Të dy shfrytëzimet u rregulluan nga Microsoft më 8 qershor 2021.

CVE-2021-31955 është një cenueshmëri e zbulimit të informacionit në ntoskrnl.exe. Ajo lidhet me një veçori të quajtur SuperFetch që u prezantua me Windows Vista. SuperFetch u krijua për të ulur kohën e ngarkimit në sistemet Windows duke ngarkuar paraprakisht në memorie disa aplikacione të përdorura shpesh. CVE-2021-31956 përshkruhet si një tejmbushje e tamponit e bazuar në grumbull në ntfs.sys.

Malware i PuzzleMaker

Pas vendosjes së një terreni në sistemin e synuar, banda PuzzleMaker vazhdon të heqë katër module malware secila përgjegjëse për një fazë të veçantë në zinxhirin e sulmit. Së pari, një modul i skenës konfirmon shkeljen e suksesshme dhe njofton hakerët. Më pas merr një modul pikatore më të sofistikuar, të fazës tjetër nga një server në distancë. Duket se moduli i skenës i rënë në secilën viktimë përmban një njollë konfigurimi të personalizuar që përcakton URL-në e serverit Command-and-Control, ID-në e sesionit dhe çelësat e nevojshëm për të deshifruar modulin tjetër të malware.

Moduli dropper shkarkon dy skedarë të ekzekutueshëm në dosjen %SYSTEM% të makinës së komprometuar. WmiPrvMon.exe është regjistruar si një shërbim dhe funksionon si lëshues për skedarin tjetër, i cili besohet të jetë ngarkesa kryesore e sulmit. Ai dorëzohet si një skedar me emrin wmimon.dll dhe është i aftë të krijojë një guaskë të largët.

Predha përmban një URL të koduar të përdorur për të arritur serverin C&C dhe i gjithë trafiku midis serverit dhe malware është i autorizuar dhe i koduar. Nëpërmjet guaskës së largët, banda PuzzleMaker mund të manipulojë proceset në sistemin e infektuar, ta detyrojë atë të hyjë në modalitetin e gjumit, të japë skedarë shtesë ose të nxjerrë të dhëna të zgjedhura, si dhe të urdhërojë që malware të fshihet vetë.

Në trend

Më e shikuara

Po ngarkohet...