BRICKSTORM Задна врата
Подозирана свързана с Китай група за кибершпионаж е насочена към компании в американския сектор на правните услуги, софтуера като услуга (SaaS), аутсорсинга на бизнес процеси (BPO) и технологиите. Целта: да се създаде високоефективна задна врата, известна като BRICKSTORM.
Приписвани на UNC5221 и тясно свързани клъстери от заплахи, тези прониквания целят да поддържат постоянен достъп до мрежите на жертвите в продължение на повече от година, често насочени към SaaS доставчици, за да достигнат до клиентски среди надолу по веригата или данни, хоствани от тяхно име. В правния и технологичния сектор атаките изглежда са мотивирани от кражба на интелектуална собственост, разузнавателна информация, свързана с националната сигурност, и информация, свързана с международната търговия.
Съдържание
BRICKSTORM: Задната врата, която остава скрита
Забелязана за първи път миналата година, BRICKSTORM беше свързана с експлоатацията на уязвимости от типа „нулев ден“ в Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887). Тя е активна и в европейски Windows среди поне от ноември 2022 г.
BRICKSTORM, написан на Go, включва възможности за:
- Действайте като уеб сървър.
- Манипулиране на файлови системи и директории.
- Качване/изтегляне на файлове и изпълнение на shell команди.
- Работете като SOCKS прокси.
- Комуникирайте със сървър за командване и управление (C2) чрез WebSockets.
Зловредният софтуер е проектиран да избягва откриването, особено на устройства без традиционно покритие за откриване и реагиране на крайни точки (EDR). Неговата скрита архитектура позволява на нападателите да останат неоткрити средно 393 дни.
Усъвършенствани техники за скритост и постоянство
Заплашителните актери използват високотехнологични техники за странично движение и постоянство:
Експлоатация и първоначален достъп : Поне една атака използва уязвимостите на периферните устройства на Ivanti Connect Secure, за да внедри BRICKSTORM. Други внедрявания на устройства, базирани на Linux и BSD, остават трудни за проследяване поради внимателното изтриване на следи от активност от страна на действащите лица.
Гъвкаво разработване на зловреден софтуер : Някои примери на BRICKSTORM включват таймер за „забавяне“, който отлага комуникацията със C2 сървърите с месеци. В един случай зловредният софтуер е бил разположен на VMware vCenter сървър след началото на реакцията при инцидент, демонстрирайки оперативна гъвкавост.
Ескалация на привилегии чрез BRICKSTEAL : Злонамерен Java Servlet филтър на Apache Tomcat е използван за улавяне на идентификационни данни за vCenter. След това атакуващите са клонирали виртуални машини на Windows Server за критични системи, като например домейн контролери, доставчици на SSO идентичност и секретни трезори.
Модификации в паметта : Използвайки персонализиран дроппер, нападателите прилагат промени в конфигурацията изцяло в паметта, избягвайки рестартирането и откриването на приложенията.
Методи за запазване на функционалността : Модификациите на файловете init.d, rc.local или systemd, заедно с внедряването на JSP уеб шелове като SLAYSTYLE (известен още като BEEFLUSH), гарантират, че BRICKSTORM автоматично се рестартира при рестартиране на устройството и изпълнява произволни команди на операционната система.
Стратегически цели и въздействие
Основната цел на тази кампания е целенасочено извличане на данни, фокусирано върху имейли и акаунти на разработчици, системни администратори и персонал, ангажиран с чувствителни области, свързани с икономическите и шпионските интереси на Китай. Използвайки възможността на SOCKS прокси, нападателите могат да проникнат в приложения, представляващи интерес, и да се насочат към SaaS клиенти надолу по веригата или да идентифицират zero-day уязвимости за бъдещи кампании.
Кампанията BRICKSTORM представлява високотехнологична заплаха, способна да заобиколи усъвършенстваните защити на предприятията и да се фокусира върху високоценни цели.
