BRICKSTORM الباب الخلفي

تستهدف مجموعة تجسس إلكتروني يُشتبه في ارتباطها بالصين شركاتٍ في قطاعات الخدمات القانونية، والبرمجيات كخدمة (SaaS)، وخدمات الاستعانة بمصادر خارجية لعمليات الأعمال (BPO)، والتكنولوجيا في الولايات المتحدة. الهدف: نصب برمجية خبيثة عالية الكفاءة تُعرف باسم BRICKSTORM.

تُعزى هذه الاختراقات إلى UNC5221 ومجموعات تهديدات وثيقة الصلة، وتهدف إلى الحفاظ على وصول مستمر إلى شبكات الضحايا لأكثر من عام، وغالبًا ما تستهدف مزودي خدمات البرمجيات كخدمة (SaaS) للوصول إلى بيئات العملاء اللاحقة أو البيانات المُستضافة نيابةً عنهم. في القطاعين القانوني والتقني، يبدو أن الدافع وراء هذه الهجمات هو سرقة الملكية الفكرية، والمعلومات الاستخباراتية المتعلقة بالأمن القومي، والمعلومات المتعلقة بالتجارة الدولية.

BRICKSTORM: الباب الخلفي الذي يبقى مخفيًا

رُصدت BRICKSTORM لأول مرة العام الماضي، وارتبطت باستغلال ثغرات يوم الصفر في Ivanti Connect Secure (CVE-2023-46805 وCVE-2024-21887). كما أنها نشطة في بيئات Windows الأوروبية منذ نوفمبر 2022 على الأقل.

يتضمن BRICKSTORM، المكتوب بلغة Go، إمكانيات لـ:

• العمل كخادم ويب.
• التعامل مع أنظمة الملفات والدلائل.
• تحميل/تنزيل الملفات وتنفيذ أوامر shell.
• العمل كوكيل SOCKS.
• التواصل مع خادم Command-and-Control (C2) عبر WebSockets.

صُممت هذه البرمجية الخبيثة لتفادي الكشف، خاصةً على الأجهزة التي تفتقر إلى تغطية الكشف والاستجابة التقليدية لنقاط النهاية (EDR). وتُمكّن بنيتها الخفية المهاجمين من البقاء متخفين لمدة 393 يومًا في المتوسط.

تقنيات متقدمة للتخفي والاستمرار

يستخدم الجهات الفاعلة في التهديد تقنيات متطورة للغاية للحركة الجانبية والاستمرار:

الاستغلال والوصول الأولي : استغل هجوم واحد على الأقل ثغرات أمنية في أجهزة Ivanti Connect Secure الطرفية لنشر BRICKSTORM. ولا يزال من الصعب تتبع عمليات نشر أخرى على أجهزة تعمل بنظامي Linux وBSD، نظرًا لحرص الجهات الفاعلة على مسح آثار الأنشطة.

تطوير برامج ضارة رشيقة : تتضمن بعض نماذج BRICKSTORM مؤقت "تأخير" يُؤجل الاتصال بخوادم القيادة والتحكم لعدة أشهر. في إحدى الحالات، نُشرت البرامج الضارة على خادم VMware vCenter بعد بدء الاستجابة للحوادث، مما يُظهر مرونة تشغيلية.

تصعيد الامتيازات عبر BRICKSTEAL : استُخدم مرشح Java Servlet خبيث على Apache Tomcat لالتقاط بيانات اعتماد vCenter. ثم استنسخ المهاجمون أجهزة Windows Server الافتراضية لأنظمة حيوية مثل وحدات تحكم النطاق، وموفري هويات SSO، والخزائن السرية.

التعديلات في الذاكرة : باستخدام قطارة مخصصة، قام المهاجمون بتطبيق تغييرات التكوين بالكامل في الذاكرة، مما أدى إلى تجنب إعادة تشغيل التطبيق واكتشافه.

طرق الاستمرار : التعديلات على ملفات init.d، أو rc.local، أو systemd، إلى جانب نشر غلافات ويب JSP مثل SLAYSTYLE (المعروف أيضًا باسم BEEFLUSH)، تضمن إعادة تشغيل BRICKSTORM تلقائيًا عند إعادة تشغيل الجهاز وتنفيذ أوامر نظام التشغيل التعسفية.

الأهداف الاستراتيجية والأثر

الهدف الرئيسي من هذه الحملة هو استهداف البيانات المُسرّبة، مع التركيز على رسائل البريد الإلكتروني وحسابات المطورين ومسؤولي الأنظمة والموظفين المعنيين بمجالات حساسة مرتبطة بالمصالح الاقتصادية والتجسسية للصين. باستخدام خاصية بروكسي SOCKS، يمكن للمهاجمين اختراق التطبيقات ذات الاهتمام والتوجه نحو عملاء SaaS في اتجاه مجرى النهر، أو تحديد ثغرات أمنية جديدة (Zero-day) لاستخدامها في حملات مستقبلية.

تمثل حملة BRICKSTORM تهديدًا متطورًا للغاية، وقادرًا على تجاوز دفاعات المؤسسات المتقدمة والتركيز على الأهداف ذات القيمة العالية.