PuzzleMaker y los ataques dirigidos contra varias empresas

Nuestras tecnologías han detectado varios ataques dirigidos que implicaban una serie de exploits de día cero.

Las tecnologías de detección de amenazas de comportamiento y prevención de exploits en Kaspersky Endpoint Security for Business han identificado una ola de ataques dirigidos a varias empresas.

Estos ataques utilizaban una cadena de exploits de día cero del navegador Chrome de Google y las vulnerabilidades de Microsoft Windows. Por ahora, los parches para las vulnerabilidades están disponibles (en una actualización de Microsoft lanzada el 8 de junio), por lo que recomendamos a todo el mundo que actualice tanto el navegador como el sistema operativo. Al actor de amenazas que está detrás de estos ataques lo llamamos PuzzleMaker.

¿Qué tienen de peligrosos los ataques de PuzzleMaker?

Los atacantes utilizan una vulnerabilidad de Google Chrome para ejecutar código malicioso en la máquina de destino. Para escapar del “sandbox”, entorno aislado de pruebas, y obtener privilegios del sistema, hacen uso de dos vulnerabilidades de Windows 10. Proceden a cargar el primer módulo de malware, el llamado stager, en la máquina de la víctima junto con un bloque de configuración personalizado (dirección del servidor de comandos, ID de sesión, claves de descifrado para el siguiente módulo, etc.).

El stager notifica a los atacantes sobre la infección y descarga y descifra un módulo dropper, que, a su vez, instala dos ejecutables que hace pasar por legítimos. El primero, WmiPrvMon.exе, se registra como servicio y ejecuta el segundo, wmimon.dll. Este segundo ejecutable es la carga útil principal del ataque, diseñado como un shell remoto.

Los atacantes usan ese shell, o intérprete de comandos, para disfrutar del control total de la máquina objetivo. Pueden cargar y descargar archivos, crear procesos, hibernar durante un período de tiempo específico e incluso eliminar cualquier rastro de ataque en la máquina. Este componente de malware se comunica con el servidor de comandos a través de una conexión cifrada.

¿Qué exploits y vulnerabilidades utiliza PuzzleMaker?

Desafortunadamente, nuestros expertos no pudieron analizar el exploit de ejecución remota de código que PuzzleMaker utilizó para atacar Google Chrome, pero completaron una investigación exhaustiva y concluyeron que los atacantes probablemente se basaran en la vulnerabilidad CVE-2021-21224. Si estás interesado en cómo y por qué llegaron a esta conclusión, te recomendamos que leas sus razonamientos en esta publicación de Securelist. En cualquier caso, Google lanzó un parche para esta vulnerabilidad el 20 de abril del 2021, menos de una semana después de que descubriéramos la ola de ataques.

El exploit que permite la escalada de privilegios utiliza dos vulnerabilidades de Windows 10 a la vez. La primera, CVE-2021-31955, es una vulnerabilidad de divulgación de información en el archivo ntoskrnl.exe. El exploit lo utilizaba para determinar las direcciones del núcleo de la estructura EPROCESS para los procesos ejecutados. La segunda vulnerabilidad, CVE-2021-31956, se encuentra en el driver ntfs.sys y pertenece a la clase de vulnerabilidades de desbordamiento de montículo. Los delincuentes la usaban junto con la función de notificación de Windows para leer y escribir datos en la memoria. Este exploit funciona en las compilaciones más comunes de Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) y 19042 (20H2). La compilación 19043 (21H1) también es vulnerable, aunque nuestras tecnologías no han detectado ataques en esta versión, que fue lanzada después de que detectáramos PuzzleMaker. En esta publicación, Securelist ofrece una descripción técnica detallada y una lista con los indicadores de compromiso.

Cómo protegerse contra este y otros ataques similares

Para salvaguardar la seguridad de tu empresa contra las vulnerabilidades utilizadas en el ataque PuzzleMaker, primero actualiza Chrome e instala (desde el sitio web de Microsoft) los parches del sistema operativo que abordan las vulnerabilidades CVE-2021-31955 y CVE-2021-31956.

Dicho esto, para evitar la amenaza de otras vulnerabilidades de día cero, todo tipo de empresa necesita utilizar productos de ciberseguridad que puedan detectar dichos intentos de explotación mediante el análisis de comportamientos sospechosos. Por ejemplo, nuestros productos detectaron este ataque utilizando la tecnología del motor de detección de comportamiento y el subsistema de prevención de exploits en Kaspersky Endpoint Security for business.

Consejos