పజిల్ మేకర్ సైబర్ క్రైమ్ గ్యాంగ్

ఇన్ఫోసెక్ పరిశోధకులచే అత్యంత లక్ష్యంగా ఉన్న దాడుల యొక్క కొత్త తరంగం కనుగొనబడింది. ఇప్పటికే స్థాపించబడిన సైబర్ క్రైమ్ గ్రూపుల యొక్క ఏ TTP లకు (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) ఆపరేషన్ యొక్క లక్షణాలు సరిపోలలేదు. మునుపటి దాడి ప్రచారాలతో అతివ్యాప్తి లేకపోవడం వల్ల పరిశోధకులు గమనించిన దాడిని కొత్తగా నియమించబడిన బెదిరింపు నటుడికి ఆపాదించారు, దానికి వారు పజిల్‌మేకర్ అని పేరు పెట్టారు.

ప్రారంభ రాజీ వెక్టర్

Google Chrome మరియు Microsoft Windowsలో కనిపించే జీరో-డే దుర్బలత్వాలపై PuzzleMaker హ్యాకర్లు ఆధారపడినట్లు విశ్లేషణ వెల్లడించింది. ఖచ్చితమైన Chrome దోపిడీలను గుర్తించడం సాధ్యం కాలేదు కానీ 90.0.4420.72 Chrome బిల్డ్‌ను ప్రభావితం చేసే CVE-2021-21224 దుర్బలత్వం వైపు సందర్భోచిత సాక్ష్యం చూపుతుంది. ఈ ప్రత్యేక దోపిడీని Google ఏప్రిల్ 20, 2021న పరిష్కరించింది.

అయితే, పజిల్‌మేకర్ దాడిలో ఉపయోగించిన రెండు విండోస్ దుర్బలత్వాలు గుర్తించబడ్డాయి మరియు వాటికి CVE-2021-31955 మరియు CVE-2021-31956 హోదాలు కేటాయించబడ్డాయి. రెండు దోపిడీలను జూన్ 8, 2021న మైక్రోసాఫ్ట్ ప్యాచ్ చేసింది.

CVE-2021-31955 అనేది ntoskrnl.exeలో సమాచార బహిర్గతం దుర్బలత్వం. ఇది Windows Vistaతో పరిచయం చేయబడిన SuperFetch అనే ఫీచర్‌కి సంబంధించినది. తరచుగా ఉపయోగించే కొన్ని అప్లికేషన్‌లను మెమరీలోకి ప్రీలోడ్ చేయడం ద్వారా Windows సిస్టమ్‌లలో లోడ్ సమయాలను తగ్గించడానికి SuperFetch రూపొందించబడింది. CVE-2021-31956 అనేది ntfs.sysలో కుప్ప-ఆధారిత బఫర్ ఓవర్‌ఫ్లోగా వివరించబడింది.

పజిల్ మేకర్ మాల్వేర్

టార్గెటెడ్ సిస్టమ్‌పై పట్టును ఏర్పరచుకున్న తర్వాత, పజిల్‌మేకర్ గ్యాంగ్ నాలుగు మాల్వేర్ మాడ్యూల్‌లను అటాక్ చైన్‌లో ఒక ప్రత్యేక దశకు బాధ్యత వహిస్తుంది. ముందుగా, స్టేజర్ మాడ్యూల్ విజయవంతమైన ఉల్లంఘనను నిర్ధారిస్తుంది మరియు హ్యాకర్లకు తెలియజేస్తుంది. ఇది రిమోట్ సర్వర్ నుండి మరింత అధునాతనమైన, తదుపరి దశ డ్రాపర్ మాడ్యూల్‌ను పొందుతుంది. ప్రతి బాధితుడిపై డ్రాప్ చేయబడిన స్టేజర్ మాడ్యూల్ కమాండ్-అండ్-కంట్రోల్ సర్వర్ యొక్క URL, సెషన్ ID మరియు తదుపరి మాల్వేర్ మాడ్యూల్‌ను డీక్రిప్ట్ చేయడానికి అవసరమైన కీలను నిర్ణయించే అనుకూలీకరించిన కాన్ఫిగరేషన్ బొట్టును కలిగి ఉన్నట్లు కనిపిస్తోంది.

డ్రాపర్ మాడ్యూల్ రాజీపడిన మెషీన్ యొక్క %SYSTEM% ఫోల్డర్‌లో రెండు ఎక్జిక్యూటబుల్ ఫైల్‌లను డౌన్‌లోడ్ చేస్తుంది. WmiPrvMon.exe ఒక సేవగా నమోదు చేయబడింది మరియు ఇది దాడికి సంబంధించిన ప్రధాన పేలోడ్‌గా భావించబడే ఇతర ఫైల్‌కి లాంచర్‌గా పనిచేస్తుంది. ఇది wmimon.dll అనే ఫైల్‌గా డెలివరీ చేయబడింది మరియు రిమోట్ షెల్‌ను ఏర్పాటు చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది.

షెల్ C&C సర్వర్‌ను చేరుకోవడానికి ఉపయోగించే హార్డ్‌కోడ్ URLని కలిగి ఉంది మరియు సర్వర్ మరియు మాల్వేర్ మధ్య ట్రాఫిక్ మొత్తం అధికారం మరియు ఎన్‌క్రిప్ట్ చేయబడింది. రిమోట్ షెల్ ద్వారా, PuzzleMaker గ్యాంగ్ సోకిన సిస్టమ్‌లోని ప్రక్రియలను మార్చగలదు, స్లీప్ మోడ్‌లోకి ప్రవేశించమని బలవంతం చేస్తుంది, అదనపు ఫైల్‌లను బట్వాడా చేస్తుంది లేదా ఎంచుకున్న డేటాను ఎక్స్‌ఫిల్ట్రేట్ చేస్తుంది, అలాగే మాల్వేర్‌ను స్వయంగా తొలగించమని ఆదేశించవచ్చు.