Pandilla de ciberdelitos de PuzzleMaker

Los investigadores de infosec detectaron una nueva ola de ataques altamente dirigidos. Las características de la operación no coincidían con ninguna de las TTP (Tácticas, Técnicas y Procedimientos) de los grupos de ciberdelincuencia ya establecidos. La falta de superposición con campañas de ataque anteriores llevó a los investigadores a atribuir el ataque observado a un actor de amenazas recién designado al que llamaron PuzzleMaker.

Vector de compromiso inicial

El análisis reveló que los piratas informáticos de PuzzleMaker se basaron en vulnerabilidades de día cero encontradas en Google Chrome y Microsoft Windows. No se pudieron identificar los exploits exactos de Chrome, pero la evidencia circunstancial apunta hacia la vulnerabilidad CVE-2021-21224 que podría afectar la compilación de Chrome 90.0.4420.72. Este exploit en particular fue solucionado por Google el 20 de abril de 2021.

Sin embargo, se identificaron las dos vulnerabilidades de Windows empleadas en el ataque de PuzzleMaker y se les asignaron las designaciones CVE-2021-31955 y CVE-2021-31956. Microsoft parcheó ambos exploits el 8 de junio de 2021.

CVE-2021-31955 es una vulnerabilidad de divulgación de información en ntoskrnl.exe. Está relacionado con una función llamada SuperFetch que se introdujo con Windows Vista. SuperFetch fue diseñado para reducir los tiempos de carga en los sistemas Windows al precargar ciertas aplicaciones de uso frecuente en la memoria. CVE-2021-31956 se describe como un desbordamiento de búfer basado en montón en ntfs.sys.

El malware PuzzleMaker

Después de establecer un punto de apoyo en el sistema objetivo, la pandilla PuzzleMaker procede a colocar cuatro módulos de malware, cada uno responsable de una etapa separada en la cadena de ataque. Primero, un módulo de transición confirma la infracción exitosa y notifica a los piratas informáticos. Luego, obtiene un módulo dropper más sofisticado de la siguiente etapa de un servidor remoto. Parece que el módulo de inicio que se colocó en cada víctima contiene un blob de configuración personalizado que determina la URL del servidor de comando y control, el ID de sesión y las claves necesarias para descifrar el siguiente módulo de malware.

El módulo cuentagotas descarga dos archivos ejecutables en la carpeta% SYSTEM% de la máquina comprometida. El WmiPrvMon.exe está registrado como un servicio y funciona como un lanzador para el otro archivo, que se cree que es la carga útil principal del ataque. Se entrega como un archivo llamado wmimon.dll y es capaz de establecer un shell remoto.

El shell contiene una URL codificada que se utiliza para llegar al servidor C&C y todo el tráfico entre el servidor y el malware está autorizado y cifrado. A través del shell remoto, la pandilla PuzzleMaker puede manipular los procesos en el sistema infectado, forzarlo a ingresar al modo de suspensión, entregar archivos adicionales o exfiltrar los datos elegidos, así como ordenar al malware que se elimine a sí mismo.