PuzzleMaker 網絡犯罪團伙

信息安全研究人員發現了新一波高度針對性的攻擊。該行動的特徵與已成立的網絡犯罪集團的任何 TTP（戰術、技術和程序）都不匹配。由於與之前的攻擊活動沒有重疊，研究人員將觀察到的攻擊歸因於他們命名為 PuzzleMaker 的新指定威脅參與者。

初始妥協向量

分析顯示，PuzzleMaker 黑客依賴於在 Google Chrome 和 Microsoft Windows 中發現的零日漏洞。無法確定確切的 Chrome 漏洞利用，但間接證據表明 CVE-2021-21224 漏洞可能影響 90.0.4420.72 Chrome 版本。 Google 於 2021 年 4 月 20 日修復了此特定漏洞。

但是，PuzzleMaker 攻擊中使用的兩個 Windows 漏洞已被識別並被指定為 CVE-2021-31955 和 CVE-2021-31956。微軟於 2021 年 6 月 8 日修補了這兩個漏洞。

CVE-2021-31955 是 ntoskrnl.exe 中的信息洩露漏洞。它與 Windows Vista 中引入的稱為 SuperFetch 的功能有關。 SuperFetch 旨在通過將某些常用應用程序預加載到內存中來縮短 Windows 系統上的加載時間。 CVE-2021-31956 被描述為 ntfs.sys 中基於堆的緩衝區溢出。

PuzzleMaker 惡意軟件

在目標系統上站穩腳跟後，PuzzleMaker 團伙繼續投放四個惡意軟件模塊，每個模塊負責攻擊鏈中的一個單獨階段。首先，stager 模塊確認成功入侵並通知黑客。然後它從遠程服務器獲取更複雜的下一階段 dropper 模塊。似乎每個受害者身上的 stager 模塊都包含一個定制的配置 blob，用於確定命令和控制服務器的 URL、會話 ID 以及解密下一個惡意軟件模塊所需的密鑰。

dropper 模塊會在受感染機器的 %SYSTEM% 文件夾中下載兩個可執行文件。 WmiPrvMon.exe 被註冊為一項服務，它充當另一個文件的啟動器，該文件被認為是攻擊的主要負載。它以名為 wmimon.dll 的文件形式提供，並且能夠建立遠程 shell。

該外殼包含用於訪問 C&C 服務器的硬編碼 URL，服務器和惡意軟件之間的所有流量都經過授權和加密。通過遠程外殼，PuzzleMaker 團伙可以操縱受感染系統上的進程，強制其進入睡眠模式，傳送額外文件或洩露所選數據，以及命令惡意軟件自我刪除。