PuzzleMaker サイバー犯罪集団

高度に標的を絞った攻撃の新しい波が、情報セキュリティの研究者によって検出されました。作戦の特徴は、すでに確立されたサイバー犯罪グループの TTP (戦術、技術、手順) のいずれとも一致しませんでした。以前の攻撃キャンペーンとの重複がなかったため、研究者は、観察された攻撃を、新たに指定された、PuzzleMaker と名付けた脅威アクターに帰属させることにしました。

初期侵害ベクトル

分析の結果、PuzzleMaker ハッカーは Google Chrome と Microsoft Windows で見つかったゼロデイ脆弱性に依存していたことが明らかになりました。正確な Chrome エクスプロイトを特定することはできませんでしたが、状況証拠は、90.0.4420.72 Chrome ビルドに影響を与える可能性のある CVE-2021-21224 の脆弱性を示しています。この特定のエクスプロイトは、2021 年 4 月 20 日に Google によって修正されました。

ただし、PuzzleMaker 攻撃で使用された 2 つの Windows の脆弱性が特定され、CVE-2021-31955 および CVE-2021-31956 の指定が割り当てられました。両方のエクスプロイトは、2021 年 6 月 8 日に Microsoft によってパッチが適用されました。

CVE-2021-31955 は、ntoskrnl.exe の情報漏えいの脆弱性です。これは、Windows Vista で導入された SuperFetch と呼ばれる機能に関連しています。 SuperFetch は、頻繁に使用される特定のアプリケーションをメモリにプリロードすることにより、Windows システムのロード時間を短縮するように設計されています。 CVE-2021-31956 は、ntfs.sys でヒープベースのバッファ オーバーフローとして説明されています。

PuzzleMaker マルウェア

標的のシステムに足場を確立した後、PuzzleMaker ギャングは、それぞれが攻撃チェーンの別の段階を担当する 4 つのマルウェア モジュールを投下します。まず、ステージャー モジュールが侵害の成功を確認し、ハッカーに通知します。次に、より洗練された次の段階のドロッパー モジュールをリモート サーバーから取得します。各犠牲者にドロップされたステージャー モジュールには、コマンド アンド コントロール サーバーの URL、セッション ID、および次のマルウェア モジュールを復号化するために必要なキーを決定するカスタマイズされた構成 BLOB が含まれているようです。

ドロッパー モジュールは、侵入先のマシンの %SYSTEM% フォルダーにある 2 つの実行可能ファイルをダウンロードします。 WmiPrvMon.exe はサービスとして登録され、他のファイルのランチャーとして機能します。これは、攻撃の主なペイロードであると考えられています。これは、wmimon.dll という名前のファイルとして提供され、リモート シェルを確立することができます。

シェルには、C&C サーバーに到達するために使用されるハードコードされた URL が含まれており、サーバーとマルウェア間のすべてのトラフィックは承認され、暗号化されます。 PuzzleMaker ギャングは、リモート シェルを介して、感染したシステムのプロセスを操作し、強制的にスリープ モードに移行させ、追加のファイルを送信したり、選択したデータを盗み出したり、マルウェアに自分自身を削除するように命令したりできます。