Кіберзлочинна банда PuzzleMaker

Дослідники Infosec виявили нову хвилю високоцільових атак. Характеристика операції не відповідала жодному з ТТП (Тактика, Техніка та Процедури) вже створених груп кіберзлочинів. Відсутність збігу з попередніми кампаніями атак змусила дослідників приписати спостережувану атаку нещодавно призначеному суб’єкту загрози, якого вони назвали PuzzleMaker.

Початковий компромісний вектор

Аналіз показав, що хакери PuzzleMaker покладалися на вразливості нульового дня, виявлені в Google Chrome і Microsoft Windows. Точні експлойти Chrome не можуть бути точно визначені, але непрямі докази вказують на вразливість CVE-2021-21224, яка може вплинути на збірку Chrome 90.0.4420.72. Цей конкретний експлойт був виправлений Google 20 квітня 2021 року.

Проте дві вразливості Windows, використані під час атаки PuzzleMaker, були ідентифіковані та отримали позначення CVE-2021-31955 і CVE-2021-31956. Обидва експлойти були виправлені Microsoft 8 червня 2021 року.

CVE-2021-31955 — це вразливість розкриття інформації в файлі ntoskrnl.exe. Це пов’язано з функцією під назвою SuperFetch, яка була представлена в Windows Vista. SuperFetch був розроблений для скорочення часу завантаження в системах Windows шляхом попереднього завантаження деяких часто використовуваних програм у пам'ять. CVE-2021-31956 описується як переповнення буфера на основі купи в ntfs.sys.

Шкідливе програмне забезпечення PuzzleMaker

Після встановлення опори на цільову систему банда PuzzleMaker продовжує скинути чотири модулі шкідливого програмного забезпечення, кожен з яких відповідає за окрему стадію в ланцюжку атаки. По-перше, модуль stager підтверджує успішне злом і повідомляє про це хакерів. Потім з віддаленого сервера він отримує більш складний модуль дроппера наступного етапу. Схоже, що модуль stager, скинутий на кожну жертву, містить налаштований блоб конфігурації, який визначає URL-адресу сервера командування та керування, ідентифікатор сеансу та ключі, необхідні для розшифрування наступного модуля зловмисного програмного забезпечення.

Модуль дроппера завантажує два виконувані файли в папку %SYSTEM% зламаної машини. WmiPrvMon.exe зареєстровано як сервіс і функціонує як засіб запуску іншого файлу, який вважається основним корисним навантаженням атаки. Він постачається у вигляді файлу з іменем wmimon.dll і може встановлювати віддалену оболонку.

Оболонка містить жорстко закодовану URL-адресу, яка використовується для доступу до сервера C&C, і весь трафік між сервером і шкідливим програмним забезпеченням авторизований і зашифрований. За допомогою віддаленої оболонки група PuzzleMaker може маніпулювати процесами в зараженій системі, змусити її перейти в сплячий режим, доставити додаткові файли або вилучити вибрані дані, а також наказати зловмисному програмному забезпеченню видалити себе.