Băng đảng tội phạm mạng PuzzleMaker
Các nhà nghiên cứu infosec đã phát hiện ra một làn sóng tấn công có mục tiêu cao mới. Các đặc điểm của hoạt động này không phù hợp với bất kỳ TTP nào (Chiến thuật, Kỹ thuật và Thủ tục) của các nhóm tội phạm mạng đã được thành lập. Việc không có sự trùng lặp với các chiến dịch tấn công trước đó đã khiến các nhà nghiên cứu quy kết cuộc tấn công được quan sát là một tác nhân đe dọa mới được chỉ định mà họ đặt tên là PuzzleMaker.
Véc tơ thỏa hiệp ban đầu
Phân tích cho thấy tin tặc PuzzleMaker dựa vào lỗ hổng zero-day được tìm thấy trong Google Chrome và Microsoft Windows. Không thể xác định chính xác cách khai thác Chrome nhưng bằng chứng ngẫu nhiên chỉ ra lỗ hổng CVE-2021-21224 có thể ảnh hưởng đến bản dựng 90.0.4420.72 Chrome. Việc khai thác cụ thể này đã được Google khắc phục vào ngày 20 tháng 4 năm 2021.
Tuy nhiên, hai lỗ hổng Windows được sử dụng trong cuộc tấn công PuzzleMaker đã được xác định và được gán các ký hiệu CVE-2021-31955 và CVE-2021-31956. Cả hai lần khai thác đều được Microsoft vá vào ngày 8 tháng 6 năm 2021.
CVE-2021-31955 là một lỗ hổng tiết lộ thông tin trong ntoskrnl.exe. Nó liên quan đến một tính năng gọi là SuperFetch đã được giới thiệu với Windows Vista. SuperFetch được thiết kế để giảm thời gian tải trên hệ thống Windows bằng cách tải trước một số ứng dụng thường dùng vào bộ nhớ. CVE-2021-31956 được mô tả là lỗi tràn bộ đệm dựa trên heap trong ntfs.sys.
Phần mềm độc hại PuzzleMaker
Sau khi thiết lập chỗ đứng trên hệ thống được nhắm mục tiêu, băng đảng PuzzleMaker tiến hành thả bốn mô-đun phần mềm độc hại, mỗi mô-đun chịu trách nhiệm cho một giai đoạn riêng biệt trong chuỗi tấn công. Đầu tiên, một mô-đun stager xác nhận vi phạm thành công và thông báo cho tin tặc. Sau đó, nó tìm nạp một mô-đun nhỏ giọt giai đoạn tiếp theo, phức tạp hơn từ một máy chủ từ xa. Có vẻ như mô-đun stager được thả trên mỗi nạn nhân chứa một khối cấu hình tùy chỉnh xác định URL của máy chủ Command-and-Control, Session ID và các khóa cần thiết để giải mã mô-đun phần mềm độc hại tiếp theo.
Mô-đun ống nhỏ giọt tải xuống hai tệp thực thi trong thư mục% SYSTEM% của máy bị xâm phạm. WmiPrvMon.exe được đăng ký như một dịch vụ và nó hoạt động như một trình khởi chạy cho tệp khác, được cho là trọng tải chính của cuộc tấn công. Nó được phân phối dưới dạng tệp có tên wmimon.dll và có khả năng thiết lập trình bao từ xa.
Vỏ chứa một URL được mã hóa cứng được sử dụng để truy cập máy chủ C&C và tất cả lưu lượng giữa máy chủ và phần mềm độc hại đều được cấp phép và mã hóa. Thông qua trình bao từ xa, băng đảng PuzzleMaker có thể thao túng các quy trình trên hệ thống bị nhiễm, buộc nó vào chế độ ngủ, cung cấp các tệp bổ sung hoặc lấy dữ liệu đã chọn, cũng như ra lệnh cho phần mềm độc hại tự xóa.
