PuzzleMaker: Zielgerichtete Cyberangriffe gegen mehrere Unternehmen

Unsere Technologien haben gezielte Angriffe entdeckt, darunter einige Zero-Day-Exploits.

Technologien für verhaltensbasierte Bedrohungserkennung und Exploit-Prävention von Kaspersky Endpoint Security for Business, haben eine neue Welle von hochgradig zielgerichteten Exploit-Angriffen gegen mehrere Unternehmen entlarvt. Für diese Angriffe wurde eine Kette von Zero-Day-Exploits der Schwachstellen im Webbrowser Google Chrome und in Microsoft Windows verwendet. Inzwischen wurden Patches für die Schwachstellen bereitgestellt (Microsoft veröffentlichte am 8. Juni eine Aktualisierung). Aus diesem Grund ist es empfehlenswert sowohl den Browser als auch das Betriebssystem so schnell wie möglich zu aktualisieren. Da noch nicht klar ist, wer genau hinter den Angriffen steckt, haben wir die Bedrohungsakteure PuzzleMaker genannt.

Warum sind die Angriffe von PuzzleMaker besonders gefährlich?

Die Angreifer nutzen eine Sicherheitslücke in Google Chrome aus, um bösartigen Code auf dem Zielgerät auszuführen. Danach machen die Cyberverbrecher sich zwei Sicherheitslücken in Windows 10 zunutze, um die Sandbox zu umgehen und Systemprivilegien zu erhalten. Diese Art von Angriffsmethode wird als Sandbox-Escape bezeichnet. Nach der Ausnutzung der Exploits wird ein sogenanntes Stager-Modul auf das Zielsystem hochgeladen, zusammen mit einem maßgeschneiderten Konfigurationsblock (Adresse des Kommandoservers, Session-ID, Entschlüsselungsschlüssel für das nächste Modul usw.).

Das Stager-Modul informiert die Angreifer über die erfolgreiche Infizierung. Dann wird ein Dropper-Modul heruntergeladen und entschlüsselt. Der Dropper installiert zwei ausführbare Dateien, die als legitime Dateien des Microsoft Windows-Betriebssystems getarnt sind. Die erste Datei WmiPrvMon.exе wird als Service registriert und führt die zweite Datei wmimon.dll. aus. Bei der zweiten ausführbaren Datei in Form eines Remote-Shell-Moduls handelt es sich um die wichtigste Payload.

Mit dieser Shell haben die Angreifer die komplette Kontrolle über das Zielsystem. Sie können Dateien herunter- und hochladen, Prozesse erstellen, für eine bestimmte Zeit inaktiv bleiben und sogar sämtliche digitalen Fußabdrücke des Angriffs im infizierten System löschen. Diese Malware-Komponente kommuniziert mit dem Kommandoserver über eine verschlüsselte Verbindung.

Welche Exploits und Sicherheitslücken wurden verwendet?

Leider konnten unsere Experten den von PuzzleMaker verwendeten Code für den Remote-Execution-Exploit, der für den Angriff auf Google Chrome genutzt wurde, nicht analysieren. Durch eine gründliche Untersuchung konnte aber festgestellt werden, dass die Angreifer höchstwahrscheinlich die inzwischen gepatchte Sicherheitslücke CVE-2021-21224 dafür ausnutzten. Wenn Sie die Details interessieren, wie die Cybersicherheitsexperten zu dieser Schlussfolgerung kamen, empfehlen wir Ihnen einen Blick auf unseren Post in der Securelist zu werfen. Google veröffentlichte den Patch für diese Schwachstelle am 20. April 2021 – nur ein paar Tage nachdem die Angriffswelle entdeckt wurde.

Für den Exploit zur Erhöhung von Berechtigungen (Elevation of Privilege) werden gleich zwei Schwachstellen in Windows 10 genutzt. Die erste Sicherheitslücke CVE-2021-31955 ist eine Information-Disclosure-Schwachstelle, die sich in der Datei ntoskrnl.exe. befindet. Damit konnten die Adressen der Kernel-EPROCESS-Struktur für die ausgeführten Vorgänge festgestellt werden. Die zweite Sicherheitslücke CVE-2021-31956 befindet sich im ntfs.sys-Driver und zählt zu den Heap-Overflow-Schwachstellen. Die Cyberverbrecher nutzten die Schwachstelle zusammen mit Windows Notification Facility (WNF), um beliebige Daten im Speicher einzugeben und zu lesen. Dieser Exploit funktioniert auf den meisten herkömmlichen Windows 10 Builds: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) und 19042 (20H2). Build 19043 (21H1) ist auch anfällig. Trotzdem haben unsere Technologien bis jetzt keine Angriffe auf diese Version entdeckt, eine Version die herausgegeben wurde, nachdem wir PuzzleMaker entdeckt haben. Auf der Kaspersky-Cybersicherheitsseite Securelist wurde ein Post mit detaillierten technischen Informationen veröffentlicht, einschließlich einer Liste mit Kompromittierungsindikatoren (Indicators of Compromise, IoC).

So schützen Sie sich vor diesem und ähnlichen Angriffen

Um Ihr Unternehmen vor Exploits zu schützen, die in den PuzzleMaker-Angriffen verwendet werden, aktualisieren Sie umgehend Chrome und installieren Sie (über die Website von Microsoft) die Patches für das Betriebssystem, die die Schwachstellen CVE-2021-31955 und CVE-2021-31956 beheben.

Abgesehen von diesen Sofortmaßnahmen ist es für jegliche Art von Unternehmen und Organisation wichtig, über zuverlässige Cybersicherheitsprodukte zu verfügen, die Exploits von Zero-Day-Schwachstellen erfolgreich abwehren können, indem u. a. verdächtige Tätigkeiten analysiert werden. Beispielsweise kann diese Art von Angriff mit Kaspersky Endpoint Security for Business entdeckt werden, weil diese Lösung Technologien wie Behavioral Detection Engine und Exploit-Prävention umfasst.

Tipps