PuzzleMaker Cybercrime Gang

Isang bagong wave ng mataas na target na pag-atake ang nakita ng mga mananaliksik ng infosec. Ang mga katangian ng operasyon ay hindi tumugma sa alinman sa mga TTP (Tactics, Techniques and Procedures) ng mga naitatag nang cybercrime group. Ang kakulangan ng overlap sa mga nakaraang kampanya sa pag-atake ay humantong sa mga mananaliksik na iugnay ang naobserbahang pag-atake sa isang bagong itinalagang aktor ng pagbabanta na pinangalanan nilang PuzzleMaker.

Initial Compromise Vector

Ibinunyag ng pagsusuri na umasa ang mga hacker ng PuzzleMaker sa mga zero-day na kahinaan na makikita sa Google Chrome at Microsoft Windows. Ang eksaktong mga pagsasamantala sa Chrome ay hindi matukoy ngunit ang circumstantial na ebidensya ay tumutukoy sa kahinaan ng CVE-2021-21224 na maaaring makaapekto sa 90.0.4420.72 Chrome build. Ang partikular na pagsasamantalang ito ay inayos ng Google noong Abril 20, 2021.

Gayunpaman, natukoy ang dalawang kahinaan sa Windows na ginamit sa pag-atake ng PuzzleMaker at itinalaga ang mga pagtatalagang CVE-2021-31955 at CVE-2021-31956. Ang parehong pagsasamantala ay na-patch ng Microsoft noong Hunyo 8, 2021.

Ang CVE-2021-31955 ay isang kahinaan sa pagbubunyag ng impormasyon sa ntoskrnl.exe. Ito ay nauugnay sa isang tampok na tinatawag na SuperFetch na ipinakilala sa Windows Vista. Ang SuperFetch ay idinisenyo upang babaan ang mga oras ng pag-load sa mga Windows system sa pamamagitan ng paunang pagkarga ng ilang mga madalas na ginagamit na application sa memorya. Ang CVE-2021-31956 ay inilalarawan bilang isang heap-based na buffer overflow sa ntfs.sys.

Ang PuzzleMaker Malware

Pagkatapos magtatag ng foothold sa naka-target na system, ang PuzzleMaker gang ay magpapatuloy na mag-drop ng apat na malware module bawat isa ay responsable para sa isang hiwalay na yugto sa attack chain. Una, kinukumpirma ng isang stager module ang matagumpay na paglabag at inaabisuhan ang mga hacker. Pagkatapos ay kumukuha ito ng mas sopistikadong, susunod na yugto ng dropper module mula sa isang malayong server. Lumalabas na ang stager module na nalaglag sa bawat biktima ay naglalaman ng customized na configuration blob na tumutukoy sa URL ng Command-and-Control server, Session ID, at ang mga key na kailangan para i-decrypt ang susunod na malware module.

Ang dropper module ay nagda-download ng dalawang executable na file sa %SYSTEM% folder ng nakompromisong machine. Ang WmiPrvMon.exe ay nakarehistro bilang isang serbisyo at ito ay gumagana bilang isang launcher para sa iba pang file, na pinaniniwalaan na ang pangunahing payload ng pag-atake. Ito ay inihatid bilang isang file na pinangalanang wmimon.dll at may kakayahang magtatag ng isang malayuang shell.

Ang shell ay naglalaman ng isang hardcoded na URL na ginamit upang maabot ang C&C server at lahat ng trapiko sa pagitan ng server at ng malware ay awtorisado at naka-encrypt. Sa pamamagitan ng remote shell, ang PuzzleMaker gang ay maaaring manipulahin ang mga proseso sa infected system, pilitin itong pumasok sa sleep mode, maghatid ng mga karagdagang file o i-exfiltrate ang piniling data, pati na rin utusan ang malware na tanggalin ang sarili nito.

Trending

Pinaka Nanood

Naglo-load...