PuzzleMaker Cybercrime Gang

En ny våg av mycket riktade attacker upptäcktes av infosec-forskare. Operationens egenskaper matchade inte någon av TTP: erna (taktik, tekniker och procedurer) för de redan etablerade cyberbrottsgrupperna. Bristen på överlappning med tidigare attackkampanjer fick forskarna att tillskriva den observerade attacken till en nyligen utsedd hotaktör som de kallade PuzzleMaker.

Inledande kompromissvektor

Analys visade att PuzzleMaker-hackarna förlitade sig på nolldagars sårbarheter som finns i Google Chrome och Microsoft Windows. Det exakta Chrome-utnyttjandet kunde inte identifieras, men omständliga bevis pekar mot CVE-2021-21224-sårbarheten som kan påverka Chrome-versionen 90.0.4420.72. Det här utnyttjandet fixades av Google den 20 april 2021.

De två Windows-sårbarheterna som användes i PuzzleMaker-attacken identifierades och fick beteckningarna CVE-2021-31955 och CVE-2021-31956. Båda exploateringarna lappades av Microsoft den 8 juni 2021.

CVE-2021-31955 är en sårbarhet för avslöjande av information i ntoskrnl.exe. Det är relaterat till en funktion som heter SuperFetch som introducerades med Windows Vista. SuperFetch utformades för att sänka laddningstiderna på Windows-system genom att förinstallera vissa ofta använda program i minnet. CVE-2021-31956 beskrivs som ett högbaserat buffertöverflöde i ntfs.sys.

PuzzleMaker-skadlig programvara

Efter att ha etablerat fotfäste på det riktade systemet fortsätter PuzzleMaker-gänget att släppa fyra skadliga moduler som var och en ansvarar för ett separat steg i attackkedjan. För det första bekräftar en stegmodul det lyckade intrånget och meddelar hackarna. Det hämtar sedan en mer sofistikerad droppmodul i nästa steg från en fjärrserver. Det verkar som att stagermodulen som släpps på varje offer innehåller en anpassad konfigurationsblob som bestämmer URL: en för Command-and-Control-servern, sessions-ID och de nycklar som behövs för att dekryptera nästa skadliga modul.

Droppmodulen laddar ner två körbara filer i mappen% SYSTEM% på den komprometterade maskinen. WmiPrvMon.exe är registrerad som en tjänst och den fungerar som en startprogram för den andra filen, som tros vara den viktigaste nyttolasten för attacken. Den levereras som en fil med namnet wmimon.dll och kan skapa ett fjärrskal.

Skalet innehåller en hårdkodad URL som används för att nå C&C-servern och all trafik mellan servern och skadlig kod är auktoriserad och krypterad. Genom fjärrskalet kan PuzzleMaker-gänget manipulera processerna på det infekterade systemet, tvinga det att gå i viloläge, leverera ytterligare filer eller exfiltrera valda data, samt beordra skadlig programvara att ta bort sig själv.