PuzzleMaker: Ataques dirigidos a múltiples empresas

Nuestras tecnologías detectaron ataques dirigidos que involucran varios exploit de día cero.

Las tecnologías de detección de amenazas de comportamiento y prevención de exploits en Kaspersky Endpoint Security for Business identificaron una ola de ataques dirigidos a múltiples empresas.  Estos ataques utilizan una cadena de exploits de día cero de vulnerabilidades del navegador Chrome de Google y Microsoft Windows.  Por ahora, los parches para las vulnerabilidades están disponibles (en una actualización de Microsoft lanzada el 8 de junio), por lo que recomendamos a todo el mundo que actualice tanto el navegador como el sistema operativo. Al actor de amenazas que está detrás de estos ataques lo llamamos PuzzleMaker.

¿Por qué los ataques de PuzzleMaker son tan peligrosos?

Los atacantes utilizan una vulnerabilidad de Google Chrome para ejecutar código malicioso en la máquina objetivo; y para escapar del “sandbox”, entorno aislado de pruebas, y obtener privilegios del sistema, hacen uso de dos vulnerabilidades de Windows 10. Proceden a cargar el primer módulo de malware, el llamado stager, en la máquina de la víctima junto con un bloque de configuración personalizado (dirección del servidor de comandos, ID de sesión, claves de descifrado para el siguiente módulo, etc.).

Stager notifica a los atacantes sobre la infección y descarga exitosa, y descifra un módulo dropper, que, a su vez, instala dos archivos ejecutables que hace pasar como legítimos. El primero, WmiPrvMon.exе, se registra como servicio y ejecuta el segundo, wmimon.dll.  Este segundo archivo ejecutable es la carga útil principal del ataque, diseñado como un shell remoto.

Los atacantes utilizan este shell para disfrutar del control pleno de la máquina objetivo. Pueden cargar y descargar archivos, crear procesos, hibernar durante un período de tiempo específico e incluso eliminar cualquier rastro de ataque en la máquina.  Este componente de malware se comunica con el servidor de comandos a través de una conexión cifrada.

¿Qué exploits y qué vulnerabilidades?

Desafortunadamente, nuestros expertos no pudieron analizar el exploit de ejecución remota de código que PuzzleMaker utilizó para atacar Google Chrome, pero sí completaron una investigación exhaustiva y concluyeron que los atacantes probablemente se sirvieron de la vulnerabilidad CVE-2021-21224.  Si quieres saber cómo y porqué llegaron a esta conclusión, te recomendamos que leas sus deducciones en esta publicación de Securelist. En cualquier caso, Google liberó un parche para esta vulnerabilidad el 20 de abril de 2021, menos de una semana después de que descubriéramos la ola de ataques.

El exploit que permite la escalada de privilegios utiliza dos vulnerabilidades de Windows 10 a la vez. La primera, CVE-2021-31955, es una vulnerabilidad que divulga información en el archivo ntoskrnl.exe. El exploit lo utilizaba para determinar las direcciones del núcleo de la estructura EPROCESS para los procesos ejecutados. La segunda vulnerabilidad, CVE-2021-31956, se encuentra en el driver y pertenece a la clase de vulnerabilidades de desbordamiento de montículo. Los criminales la usaban junto con la función de notificación de Windows para leer y escribir datos en la memoria.  Este exploit funciona en las compilaciones más comunes de Windows 10. 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) y 19042 (20H2). La compilación 19043 (21H1) también es vulnerable, aunque nuestras tecnologías no han detectado ataques en esta versión, que fue lanzada después de que detectáramos PuzzleMaker. Securelist publicó una descripción técnica detallada y una lista con los indicadores de compromiso.

Protégete contra este y otros ataques similares

Para salvaguardar la seguridad corporativa contra los exploits utilizados en el ataque de PuzzleMaker, primero actualiza Chrome e instala (desde el sitio web de Microsoft) los parches del sistema operativo que abordan las vulnerabilidades CVE-2021-31955 y CVE-2021-31956.

Dicho esto, para evitar la amenaza de otras vulnerabilidades de día cero, todo tipo de empresa necesita utilizar productos de ciberseguridad que puedan detectar dichos intentos de explotación mediante el análisis de comportamientos sospechosos. Por ejemplo, nuestros productos detectaron este ataque utilizando la tecnología del motor de detección de comportamiento y el subsistema de prevención de exploits en Kaspersky Endpoint Security for business.

Consejos