PuzzleMaker Siber Suç Çetesi

Infosec araştırmacıları tarafından yüksek oranda hedeflenmiş yeni bir saldırı dalgası tespit edildi. Operasyonun özellikleri, halihazırda kurulmuş siber suç gruplarının TTP'lerinden (Taktikler, Teknikler ve Prosedürler) hiçbiriyle eşleşmedi. Önceki saldırı kampanyalarıyla örtüşmemesi, araştırmacıları, gözlemlenen saldırıyı PuzzleMaker adını verdikleri yeni belirlenmiş bir tehdit aktörüne bağlamaya yöneltti.

İlk Uzlaşma Vektörü

Analiz, PuzzleMaker bilgisayar korsanlarının Google Chrome ve Microsoft Windows'ta bulunan sıfırıncı gün güvenlik açıklarına güvendiğini ortaya çıkardı. Tam Chrome istismarları tam olarak tespit edilemedi, ancak ikinci derece kanıtlar, 90.0.4420.72 Chrome yapısını etkileyebilecek CVE-2021-21224 güvenlik açığına işaret ediyor. Bu özel güvenlik açığı 20 Nisan 2021'de Google tarafından düzeltildi.

Ancak, PuzzleMaker saldırısında kullanılan iki Windows güvenlik açığı tespit edildi ve CVE-2021-31955 ve CVE-2021-31956 olarak adlandırıldı. Her iki istismar da 8 Haziran 2021'de Microsoft tarafından yamalandı.

CVE-2021-31955, ntoskrnl.exe'deki bir bilginin açığa çıkması güvenlik açığıdır. Windows Vista ile tanıtılan SuperFetch adlı bir özellikle ilgilidir. SuperFetch, sık kullanılan belirli uygulamaları belleğe önceden yükleyerek Windows sistemlerinde yükleme sürelerini azaltmak için tasarlanmıştır. CVE-2021-31956, ntfs.sys'de yığın tabanlı bir arabellek taşması olarak tanımlanır.

PuzzleMaker Kötü Amaçlı Yazılımı

Hedeflenen sistemde bir yer edindikten sonra, PuzzleMaker çetesi, saldırı zincirinde her biri ayrı bir aşamadan sorumlu dört kötü amaçlı yazılım modülünü düşürmeye devam ediyor. İlk olarak, bir aşama modülü başarılı ihlali onaylar ve bilgisayar korsanlarını bilgilendirir. Ardından, uzak bir sunucudan daha karmaşık, sonraki aşama bir dropper modülünü getirir. Görünüşe göre her kurbana bırakılan aşama modülü, Komuta ve Kontrol sunucusunun URL'sini, Oturum Kimliğini ve bir sonraki kötü amaçlı yazılım modülünün şifresini çözmek için gereken anahtarları belirleyen özelleştirilmiş bir yapılandırma blobu içeriyor.

Dropper modülü, güvenliği ihlal edilmiş makinenin %SYSTEM% klasörüne iki yürütülebilir dosya indirir. WmiPrvMon.exe bir hizmet olarak kaydedilir ve saldırının ana yükü olduğuna inanılan diğer dosya için başlatıcı işlevi görür. wmimon.dll adlı bir dosya olarak teslim edilir ve uzak bir kabuk oluşturma yeteneğine sahiptir.

Kabuk, C&C sunucusuna ulaşmak için kullanılan sabit kodlanmış bir URL içerir ve sunucu ile kötü amaçlı yazılım arasındaki tüm trafik yetkilendirilir ve şifrelenir. PuzzleMaker çetesi, uzak kabuk aracılığıyla, virüslü sistemdeki süreçleri manipüle edebilir, uyku moduna girmeye zorlayabilir, ek dosyalar teslim edebilir veya seçilen verileri sızdırabilir ve kötü amaçlı yazılıma kendini silme komutu verebilir.