Gang de cybercriminalité PuzzleMaker

Une nouvelle vague d'attaques très ciblées a été détectée par les chercheurs d'infosec. Les caractéristiques de l'opération ne correspondaient à aucun des TTP (Tactiques, Techniques et Procédures) des groupes de cybercriminalité déjà établis. L'absence de chevauchement avec les campagnes d'attaque précédentes a conduit les chercheurs à attribuer l'attaque observée à un acteur de menace nouvellement désigné qu'ils ont nommé PuzzleMaker.

Vecteur de compromis initial

L'analyse a révélé que les pirates de PuzzleMaker s'appuyaient sur des vulnérabilités zero-day trouvées dans Google Chrome et Microsoft Windows. Les exploits Chrome exacts n'ont pas pu être identifiés, mais des preuves circonstancielles indiquent la vulnérabilité CVE-2021-21224 qui pourrait affecter la version 90.0.4420.72 de Chrome. Cet exploit particulier a été corrigé par Google le 20 avril 2021.

Cependant, les deux vulnérabilités Windows utilisées dans l'attaque PuzzleMaker ont été identifiées et ont reçu les désignations CVE-2021-31955 et CVE-2021-31956. Les deux exploits ont été corrigés par Microsoft le 8 juin 2021.

CVE-2021-31955 est une vulnérabilité de divulgation d'informations dans ntoskrnl.exe. Il est lié à une fonctionnalité appelée SuperFetch qui a été introduite avec Windows Vista. SuperFetch a été conçu pour réduire les temps de chargement sur les systèmes Windows en préchargeant certaines applications fréquemment utilisées en mémoire. CVE-2021-31956 est décrit comme un dépassement de mémoire tampon basé sur le tas dans ntfs.sys.

Le logiciel malveillant PuzzleMaker

Après avoir pris pied sur le système ciblé, le gang PuzzleMaker procède à la suppression de quatre modules malveillants, chacun responsable d'une étape distincte de la chaîne d'attaque. Tout d'abord, un module de mise en scène confirme la brèche réussie et informe les pirates. Il récupère ensuite un module compte-gouttes de prochaine étape plus sophistiqué à partir d'un serveur distant. Il semble que le module intermédiaire déposé sur chaque victime contienne un blob de configuration personnalisé qui détermine l'URL du serveur de commande et de contrôle, l'ID de session et les clés nécessaires pour déchiffrer le prochain module malveillant.

Le module compte-gouttes télécharge deux fichiers exécutables dans le dossier %SYSTEM% de la machine compromise. Le WmiPrvMon.exe est enregistré en tant que service et il fonctionne comme un lanceur pour l'autre fichier, qui serait la principale charge utile de l'attaque. Il est livré sous forme de fichier nommé wmimon.dll et est capable d'établir un shell distant.

Le shell contient une URL codée en dur utilisée pour atteindre le serveur C&C et tout le trafic entre le serveur et le malware est autorisé et crypté. Grâce au shell distant, le gang PuzzleMaker peut manipuler les processus sur le système infecté, le forcer à passer en mode veille, fournir des fichiers supplémentaires ou exfiltrer les données choisies, ainsi que ordonner au malware de se supprimer.