PuzzleMaker: attacchi mirati colpiscono diverse aziende

Le nostre tecnologie hanno rilevato attacchi mirati che coinvolgono una serie di exploit zero-day.

Le tecnologie di rilevamento delle minacce comportamentali e di prevenzione degli exploit di Kaspersky Endpoint Security for Business hanno identificato un’ondata di attacchi fortemente mirati a diverse aziende. Questi attacchi hanno usato una catena di exploit zero-day del browser Google Chrome e alcune vulnerabilità di Microsoft Windows. Le patch per le vulnerabilità sono già disponibili (a partire da un aggiornamento Microsoft rilasciato l’8 giugno), quindi consigliamo a tutti di aggiornare sia il browser, sia il sistema operativo. Il gruppo che si nasconde dietro questi attacchi lo abbiamo battezzato con il nome PuzzleMaker.

Cosa c’è di così pericoloso negli attacchi PuzzleMaker?

I cybercriminali utilizzano una vulnerabilità di Google Chrome per eseguire un codice dannoso sul dispositivo bersaglio per poi sfruttare due vulnerabilità di Windows 10 per sfuggire alla “sandbox” e ottenere privilegi di sistema. Innanzitutto caricano il primo modulo malware, il cosiddetto stager, sul dispositivo della vittima insieme a una serie di configurazioni personalizzate (indirizzo del server di comando, ID di sessione, chiavi di decifrazione per il modulo successivo, e così via).

Lo stager informa i cybercriminali che l’infezione è avvenuta con successo, per poi scaricare e decifrare un modulo dropper che, a sua volta, installa due file eseguibili che si spacciano per file legittimi. Il primo, WmiPrvMon.exе, è registrato come servizio ed esegue il secondo, wmimon.dll., che è il payload principale dell’attacco, che ha le sembianze di una shell remota.

I criminali informatici usano questa shell per ottenere il pieno controllo del dispositivo bersaglio. Possono caricare e scaricare file, creare processi, ibernare il dispositivo per un determinato periodo di tempo e persino eliminare qualsiasi traccia dell’attacco. Questo componente malware comunica con il server di comando attraverso una connessione cifrata.

Di quali exploit e vulnerabilità stiamo parlando?

Sfortunatamente, i nostri esperti non sono stati in grado di analizzare l’exploit per l’esecuzione del codice da remoto utilizzato da PuzzleMaker per attaccare Google Chrome; tuttavia, dopo aver condotto un’indagine approfondita, sono giunti alla conclusione che i cybercriminali probabilmente hanno sfruttato la vulnerabilità CVE-2021-21224. Se siete interessati a come e perché sono arrivati a questa conclusione, vi invitiamo a leggere il nostro post su Securelist. In ogni caso, il 20 aprile 2021, Google ha rilasciato una patch per questa vulnerabilità, meno di una settimana dopo la nostra scoperta dell’ondata di attacchi.

L’exploit per l’elevazione dei privilegi utilizza due vulnerabilità di Windows 10 contemporaneamente. La prima, CVE-2021-31955, è una vulnerabilità nella divulgazione delle informazioni del file ntoskrnl.exe. L’exploit utilizza questa vulnerabilità per determinare gli indirizzi della struttura kernel EPROCESS per i processi eseguiti. La seconda vulnerabilità, CVE-2021-31956, si trova nel driver ntfs.sys e appartiene alla classe di vulnerabilità heap overflow. I cybercriminali se ne sono serviti, insieme alla Windows Notification Facility, per leggere e scrivere dati nella memoria. Questo exploit funziona sulle build più comuni di Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) e 19042 (20H2). Anche la build 19043 (21H1) è vulnerabile, sebbene le nostre tecnologie non abbiano rilevato attacchi su questa versione, che è stata rilasciata dopo il nostro rilevamento di PuzzleMaker. Su Securelist abbiamo pubblicato un post con una descrizione tecnica dettagliata, dove abbiamo elencato anche gli indicatori di compromissione.

Come difendersi da questo tipo di attacchi

Per salvaguardare la vostra sicurezza aziendale dagli exploit utilizzati nell’attacco PuzzleMaker, innanzitutto aggiornate Chrome e installate le patch del sistema operativo che risolvono le vulnerabilità CVE-2021-31955 e CVE-2021-31956v (dal sito di Microsoft).

Detto questo, per scongiurare la minaccia di altre vulnerabilità zero-day, ogni tipo di azienda ha bisogno di utilizzare soluzioni di cybersecurity in grado di rilevare tali tentativi di sfruttamento delle vulnerabilità, analizzando i comportamenti sospetti. Ad esempio, i nostri prodotti hanno rilevato questo attacco utilizzando la tecnologia Behavioral Detection Engine e il sottosistema Exploit Prevention in Kaspersky Endpoint Security for business.

Consigli