PuzzleMaker Cybercrime Gang

Eine neue Welle hochgradig gezielter Angriffe wurde von infosec-Forschern entdeckt. Die Merkmale der Operation entsprachen keinem der TTPs (Taktik, Techniken und Verfahren) der bereits etablierten Cybercrime-Gruppen. Die fehlende Überschneidung mit früheren Angriffskampagnen führte die Forscher dazu, den beobachteten Angriff einem neu benannten Bedrohungsakteur zuzuschreiben, den sie PuzzleMaker nannten.

Anfänglicher Kompromissvektor

Die Analyse ergab, dass sich die PuzzleMaker-Hacker auf Zero-Day-Schwachstellen verlassen, die in Google Chrome und Microsoft Windows gefunden wurden. Die genauen Chrome-Exploits konnten nicht lokalisiert werden, aber Indizien deuten auf die Schwachstelle CVE-2021-21224 hin, die den Chrome-Build 90.0.4420.72 beeinträchtigen könnte. Dieser spezielle Exploit wurde von Google am 20. April 2021 behoben.

Die beiden beim PuzzleMaker-Angriff verwendeten Windows-Schwachstellen wurden jedoch identifiziert und erhielten die Bezeichnungen CVE-2021-31955 und CVE-2021-31956. Beide Exploits wurden am 8. Juni 2021 von Microsoft gepatcht.

CVE-2021-31955 ist eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Datei ntoskrnl.exe. Es hängt mit einer Funktion namens SuperFetch zusammen, die mit Windows Vista eingeführt wurde. SuperFetch wurde entwickelt, um die Ladezeiten auf Windows-Systemen zu verkürzen, indem bestimmte häufig verwendete Anwendungen vorab in den Speicher geladen werden. CVE-2021-31956 wird in ntfs.sys als heap-basierter Pufferüberlauf beschrieben.

Die PuzzleMaker-Malware

Nachdem die PuzzleMaker-Bande auf dem Zielsystem Fuß gefasst hat, setzt sie vier Malware-Module ab, die jeweils für eine separate Stufe in der Angriffskette verantwortlich sind. Zunächst bestätigt ein Stager-Modul den erfolgreichen Verstoß und benachrichtigt die Hacker. Es ruft dann ein anspruchsvolleres Dropper-Modul der nächsten Stufe von einem Remote-Server ab. Es scheint, dass das auf jedem Opfer abgelegte Stager-Modul einen angepassten Konfigurationsblob enthält, der die URL des Command-and-Control-Servers, die Sitzungs-ID und die Schlüssel bestimmt, die zum Entschlüsseln des nächsten Malware-Moduls erforderlich sind.

Das Dropper-Modul lädt zwei ausführbare Dateien im Ordner %SYSTEM% des kompromittierten Computers herunter. Die WmiPrvMon.exe ist als Dienst registriert und fungiert als Startprogramm für die andere Datei, von der angenommen wird, dass sie die Hauptnutzlast des Angriffs ist. Es wird als Datei mit dem Namen wmimon.dll geliefert und ist in der Lage, eine Remote-Shell aufzubauen.

Die Shell enthält eine hartcodierte URL, die verwendet wird, um den C&C-Server zu erreichen, und der gesamte Datenverkehr zwischen dem Server und der Malware wird autorisiert und verschlüsselt. Über die Remote-Shell kann die PuzzleMaker-Bande die Prozesse auf dem infizierten System manipulieren, es in den Schlafmodus zwingen, zusätzliche Dateien liefern oder ausgewählte Daten exfiltrieren sowie der Malware befehlen, sich selbst zu löschen.