ПуззлеМакер ЦиберЦриме Ганг

Истраживачи инфосеца открили су нови талас високо циљаних напада. Карактеристике операције нису одговарале ниједном од ТТП-ова (тактике, технике и процедуре) већ успостављених група за сајбер криминал. Недостатак преклапања са претходним кампањама напада довео је истраживаче до тога да примећени напад припишу новоименованом актеру претње којег су назвали ПуззлеМакер.

Почетни компромисни вектор

Анализа је открила да су се хакери ПуззлеМакера ослањали на рањивости нултог дана пронађене у Гоогле Цхроме-у и Мицрософт Виндовс-у. Тачне Цхроме експлоатације се не могу тачно одредити, али посредни докази указују на рањивост ЦВЕ-2021-21224 која би могла да утиче на 90.0.4420.72 Цхроме верзију. Гугл је поправио ову конкретну експлоатацију 20. априла 2021.

Међутим, идентификоване су две Виндовс рањивости употребљене у нападу ПуззлеМакер-а и додељене су им ознаке ЦВЕ-2021-31955 и ЦВЕ-2021-31956. Оба екплоит-а је закрпио Мицрософт 8. јуна 2021.

ЦВЕ-2021-31955 је рањивост у вези са откривањем информација у нтоскрнл.еке. Повезан је са функцијом која се зове СуперФетцх која је представљена у оперативном систему Виндовс Виста. СуперФетцх је дизајниран да смањи време учитавања на Виндовс системима унапред учитавањем одређених често коришћених апликација у меморију. ЦВЕ-2021-31956 је описан као преливање бафера засновано на хрпи у нтфс.сис.

Малвер ПуззлеМакер

Након успостављања упоришта на циљаном систему, група ПуззлеМакер наставља да избаци четири модула злонамерног софтвера, од којих је сваки одговоран за засебну фазу у ланцу напада. Прво, стагер модул потврђује успешно пробијање и обавештава хакере. Затим са удаљеног сервера преузима софистициранији модул капалице следеће фазе. Чини се да модул стагера који је испуштен на сваку жртву садржи прилагођени конфигурациони блоб који одређује УРЛ сервера за команду и контролу, ИД сесије и кључеве потребне за дешифровање следећег модула малвера.

Модул дроппер преузима две извршне датотеке у фолдер %СИСТЕМ% компромитоване машине. ВмиПрвМон.еке је регистрован као сервис и функционише као покретач за другу датотеку, за коју се верује да је главни носилац напада. Испоручује се као датотека под називом вмимон.длл и може да успостави удаљену љуску.

Шкољка садржи тврдо кодирану УРЛ адресу која се користи за приступ Ц&Ц серверу и сав саобраћај између сервера и малвера је ауторизован и шифрован. Преко удаљене љуске, група ПуззлеМакер може да манипулише процесима на зараженом систему, да га примора да уђе у режим спавања, испоручи додатне датотеке или ексфилтрира одабране податке, као и да нареди малверу да се избрише.