புதிர் மேக்கர் சைபர் கிரைம் கும்பல்
அதிக இலக்கு கொண்ட தாக்குதல்களின் புதிய அலை இன்ஃபோசெக் ஆராய்ச்சியாளர்களால் கண்டறியப்பட்டது. ஏற்கனவே நிறுவப்பட்ட சைபர் கிரைம் குழுக்களின் எந்த TTP களுடன் (தந்திரங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள்) செயல்பாட்டின் பண்புகள் பொருந்தவில்லை. முந்தைய தாக்குதல் பிரச்சாரங்களுடன் ஒன்றுடன் ஒன்று இல்லாததால், ஆராய்ச்சியாளர்கள் கவனிக்கப்பட்ட தாக்குதலை புதிதாக நியமிக்கப்பட்ட அச்சுறுத்தல் நடிகருக்கு காரணம் என்று கூற வழிவகுத்தது, அவர்கள் PuzzleMaker என்று பெயரிட்டனர்.
ஆரம்ப சமரச திசையன்
கூகுள் குரோம் மற்றும் மைக்ரோசாப்ட் விண்டோஸில் காணப்படும் பூஜ்ஜிய நாள் பாதிப்புகளை PuzzleMaker ஹேக்கர்கள் நம்பியிருப்பதாக பகுப்பாய்வு வெளிப்படுத்தியது. துல்லியமான Chrome சுரண்டல்களை துல்லியமாக சுட்டிக்காட்ட முடியவில்லை, ஆனால் 90.0.4420.72 Chrome உருவாக்கத்தை பாதிக்கக்கூடிய CVE-2021-21224 பாதிப்புக்கு சூழ்நிலை சான்றுகள் உள்ளன. இந்தக் குறிப்பிட்ட சுரண்டல் ஏப்ரல் 20, 2021 அன்று Google ஆல் சரி செய்யப்பட்டது.
இருப்பினும், புதிர்மேக்கர் தாக்குதலில் பயன்படுத்தப்பட்ட இரண்டு விண்டோஸ் பாதிப்புகள் அடையாளம் காணப்பட்டு, அவர்களுக்கு CVE-2021-31955 மற்றும் CVE-2021-31956 என்ற பெயர்கள் ஒதுக்கப்பட்டன. இரண்டு சுரண்டல்களும் ஜூன் 8, 2021 அன்று மைக்ரோசாப்ட் மூலம் இணைக்கப்பட்டது.
CVE-2021-31955 என்பது ntoskrnl.exe இல் உள்ள தகவல் வெளிப்படுத்தல் பாதிப்பு ஆகும். இது Windows Vista உடன் அறிமுகப்படுத்தப்பட்ட SuperFetch என்ற அம்சத்துடன் தொடர்புடையது. SuperFetch ஆனது, அடிக்கடி பயன்படுத்தப்படும் சில அப்ளிகேஷன்களை நினைவகத்தில் முன் ஏற்றுவதன் மூலம் விண்டோஸ் கணினிகளில் சுமை நேரத்தை குறைக்க வடிவமைக்கப்பட்டுள்ளது. CVE-2021-31956 என்பது ntfs.sys இல் குவிய அடிப்படையிலான இடையக வழிதல் என விவரிக்கப்படுகிறது.
புதிர்மேக்கர் மால்வேர்
இலக்கு அமைப்பில் காலூன்றுவதற்குப் பிறகு, புதிர்மேக்கர் கும்பல் நான்கு மால்வேர் தொகுதிக்கூறுகளை கைவிடத் தொடர்கிறது. முதலில், ஒரு ஸ்டேஜர் தொகுதி வெற்றிகரமான மீறலை உறுதிப்படுத்துகிறது மற்றும் ஹேக்கர்களுக்கு தெரிவிக்கிறது. இது தொலைதூர சேவையகத்திலிருந்து மிகவும் அதிநவீன, அடுத்த கட்ட டிராப்பர் தொகுதியைப் பெறுகிறது. ஒவ்வொரு பாதிக்கப்பட்டவரின் மீதும் கைவிடப்பட்ட ஸ்டேஜர் தொகுதி, கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்தின் URL, அமர்வு ஐடி மற்றும் அடுத்த மால்வேர் தொகுதியை மறைகுறியாக்கத் தேவையான விசைகளைத் தீர்மானிக்கும் தனிப்பயனாக்கப்பட்ட உள்ளமைவு குமிழியைக் கொண்டிருப்பதாகத் தெரிகிறது.
டிராப்பர் தொகுதி இரண்டு இயங்கக்கூடிய கோப்புகளை சமரசம் செய்யப்பட்ட இயந்திரத்தின் %SYSTEM% கோப்புறையில் பதிவிறக்குகிறது. WmiPrvMon.exe ஒரு சேவையாக பதிவு செய்யப்பட்டுள்ளது, மேலும் இது தாக்குதலின் முக்கிய பேலோட் என நம்பப்படும் மற்ற கோப்பிற்கான துவக்கியாக செயல்படுகிறது. இது wmimon.dll என்ற பெயரில் ஒரு கோப்பாக வழங்கப்படுகிறது மற்றும் தொலைநிலை ஷெல்லை நிறுவும் திறன் கொண்டது.
ஷெல் ஆனது C&C சேவையகத்தை அடைவதற்குப் பயன்படுத்தப்படும் ஹார்ட்கோட் செய்யப்பட்ட URL ஐக் கொண்டுள்ளது மற்றும் சேவையகத்திற்கும் தீம்பொருளுக்கும் இடையே உள்ள அனைத்து ட்ராஃபிக்கும் அங்கீகரிக்கப்பட்டு குறியாக்கம் செய்யப்பட்டுள்ளது. ரிமோட் ஷெல் மூலம், PuzzleMaker கும்பல் பாதிக்கப்பட்ட கணினியில் செயல்முறைகளை கையாளலாம், தூக்க பயன்முறையில் நுழைய கட்டாயப்படுத்தலாம், கூடுதல் கோப்புகளை வழங்கலாம் அல்லது தேர்ந்தெடுக்கப்பட்ட தரவை வெளியேற்றலாம், அத்துடன் தீம்பொருளை தன்னை நீக்கும்படி கட்டளையிடலாம்.
