PuzzleMaker แก๊งอาชญากรไซเบอร์

นักวิจัยของ infosec ตรวจพบคลื่นลูกใหม่ของการโจมตีที่มีเป้าหมายสูง ลักษณะของการดำเนินการไม่ตรงกับ TTP (กลยุทธ์ เทคนิค และขั้นตอน) ของกลุ่มอาชญากรไซเบอร์ที่จัดตั้งขึ้นแล้ว การขาดความซ้ำซ้อนกับแคมเปญการโจมตีก่อนหน้านี้ทำให้นักวิจัยระบุการโจมตีที่สังเกตได้ว่าเป็นภัยคุกคามที่ได้รับมอบหมายใหม่ซึ่งพวกเขาตั้งชื่อว่า PuzzleMaker

เวกเตอร์การประนีประนอมเบื้องต้น

การวิเคราะห์เปิดเผยว่าแฮกเกอร์ PuzzleMaker อาศัยช่องโหว่ซีโร่เดย์ที่พบใน Google Chrome และ Microsoft Windows ไม่สามารถระบุช่องโหว่ของ Chrome ที่แน่นอนได้ แต่หลักฐานตามสถานการณ์ชี้ไปที่ช่องโหว่ CVE-2021-21224 ที่อาจส่งผลกระทบต่อโครงสร้าง Chrome 90.0.4420.72 ช่องโหว่นี้ได้รับการแก้ไขโดย Google เมื่อวันที่ 20 เมษายน 2021

อย่างไรก็ตาม ช่องโหว่ของ Windows ทั้งสองช่องโหว่ที่ใช้ในการโจมตี PuzzleMaker ได้รับการระบุและได้รับมอบหมายให้เป็น CVE-2021-31955 และ CVE-2021-31956 ช่องโหว่ทั้งสองได้รับการแก้ไขโดย Microsoft เมื่อวันที่ 8 มิถุนายน พ.ศ. 2564

CVE-2021-31955 เป็นช่องโหว่ในการเปิดเผยข้อมูลใน ntoskrnl.exe เกี่ยวข้องกับคุณลักษณะที่เรียกว่า SuperFetch ที่นำมาใช้กับ Windows Vista SuperFetch ได้รับการออกแบบมาเพื่อลดเวลาในการโหลดบนระบบ Windows โดยการโหลดแอพพลิเคชั่นที่ใช้บ่อยบางตัวไว้ล่วงหน้าในหน่วยความจำ CVE-2021-31956 ถูกอธิบายว่าเป็นบัฟเฟอร์ล้นแบบอิงฮีปใน ntfs.sys

มัลแวร์ PuzzleMaker

หลังจากตั้งหลักบนระบบเป้าหมายแล้ว แก๊งค์ PuzzleMaker จะดำเนินการดรอปโมดูลมัลแวร์สี่โมดูลซึ่งแต่ละโมดูลรับผิดชอบสำหรับขั้นตอนที่แยกจากกันในห่วงโซ่การโจมตี ขั้นแรก โมดูล stager ยืนยันการละเมิดที่สำเร็จและแจ้งให้แฮกเกอร์ทราบ จากนั้นจะดึงโมดูล dropper ขั้นสูงที่ซับซ้อนยิ่งขึ้นจากเซิร์ฟเวอร์ระยะไกล ปรากฏว่าโมดูล stager ที่ปล่อยบนเหยื่อแต่ละรายประกอบด้วย blob การกำหนดค่าแบบกำหนดเองที่กำหนด URL ของเซิร์ฟเวอร์ Command-and-Control, ID เซสชัน และคีย์ที่จำเป็นในการถอดรหัสโมดูลมัลแวร์ตัวถัดไป

โมดูลหยดจะดาวน์โหลดไฟล์ปฏิบัติการสองไฟล์ในโฟลเดอร์ %SYSTEM% ของเครื่องที่ถูกบุกรุก WmiPrvMon.exe ได้รับการลงทะเบียนเป็นบริการและทำหน้าที่เป็นตัวเรียกใช้งานสำหรับไฟล์อื่น ซึ่งเชื่อว่าเป็นเพย์โหลดหลักของการโจมตี มันถูกจัดส่งเป็นไฟล์ชื่อ wmimon.dll และสามารถสร้างรีโมตเชลล์ได้

เชลล์มี URL ฮาร์ดโค้ดที่ใช้เพื่อเข้าถึงเซิร์ฟเวอร์ C&C และการรับส่งข้อมูลทั้งหมดระหว่างเซิร์ฟเวอร์กับมัลแวร์ได้รับอนุญาตและเข้ารหัส ผ่านเชลล์ระยะไกล แก๊ง PuzzleMaker สามารถจัดการกระบวนการบนระบบที่ติดไวรัส บังคับให้เข้าสู่โหมดสลีป ส่งไฟล์เพิ่มเติมหรือกรองข้อมูลที่เลือก รวมทั้งสั่งให้มัลแวร์ลบตัวเอง