PuzzleMaker 网络犯罪团伙

信息安全研究人员发现了新一波高度针对性的攻击。该行动的特征与已成立的网络犯罪集团的任何 TTP（战术、技术和程序）都不匹配。由于与之前的攻击活动没有重叠，研究人员将观察到的攻击归因于他们命名为 PuzzleMaker 的新指定威胁参与者。

初始妥协向量

分析显示，PuzzleMaker 黑客依赖于在 Google Chrome 和 Microsoft Windows 中发现的零日漏洞。无法确定确切的 Chrome 漏洞利用，但间接证据表明 CVE-2021-21224 漏洞可能影响 90.0.4420.72 Chrome 版本。 Google 于 2021 年 4 月 20 日修复了此特定漏洞。

但是，PuzzleMaker 攻击中使用的两个 Windows 漏洞已被识别并被指定为 CVE-2021-31955 和 CVE-2021-31956。微软于 2021 年 6 月 8 日修补了这两个漏洞。

CVE-2021-31955 是 ntoskrnl.exe 中的信息泄露漏洞。它与 Windows Vista 中引入的称为 SuperFetch 的功能有关。 SuperFetch 旨在通过将某些常用应用程序预加载到内存中来缩短 Windows 系统上的加载时间。 CVE-2021-31956 被描述为 ntfs.sys 中基于堆的缓冲区溢出。

PuzzleMaker 恶意软件

在目标系统上站稳脚跟后，PuzzleMaker 团伙继续投放四个恶意软件模块，每个模块负责攻击链中的一个单独阶段。首先，stager 模块确认成功入侵并通知黑客。然后它从远程服务器获取更复杂的下一阶段 dropper 模块。似乎每个受害者身上的 stager 模块都包含一个定制的配置 blob，用于确定命令和控制服务器的 URL、会话 ID 以及解密下一个恶意软件模块所需的密钥。

dropper 模块会在受感染机器的 %SYSTEM% 文件夹中下载两个可执行文件。 WmiPrvMon.exe 被注册为一项服务，它充当另一个文件的启动器，该文件被认为是攻击的主要负载。它以名为 wmimon.dll 的文件形式提供，并且能够建立远程 shell。

该外壳包含用于访问 C&C 服务器的硬编码 URL，服务器和恶意软件之间的所有流量都经过授权和加密。通过远程外壳，PuzzleMaker 团伙可以操纵受感染系统上的进程，强制其进入睡眠模式，传送额外文件或泄露所选数据，以及命令恶意软件自我删除。