Porta del darrere BRICKSTORM

Un presumpte grup d'espionatge cibernètic alineat amb la Xina ha estat atacant empreses dels sectors de serveis legals, programari com a servei (SaaS), externalització de processos empresarials (BPO) i tecnologia dels EUA. L'objectiu: oferir una porta del darrere altament capaç coneguda com a BRICKSTORM.

Atribuïdes a UNC5221 i clústers d'amenaces estretament relacionats, aquestes intrusions tenen com a objectiu mantenir l'accés persistent a les xarxes de les víctimes durant més d'un any, sovint dirigint-se a proveïdors de SaaS per arribar a entorns de clients posteriors o dades allotjades en nom seu. En els sectors legal i tecnològic, els atacs semblen motivats pel robatori de propietat intel·lectual, intel·ligència relacionada amb la seguretat nacional i informació rellevant per al comerç internacional.

BRICKSTORM: La porta del darrere que roman amagada

Observat per primera vegada l'any passat, BRICKSTORM es va vincular a l'explotació de vulnerabilitats zero-day d'Ivanti Connect Secure (CVE-2023-46805 i CVE-2024-21887). També ha estat actiu en entorns Windows europeus des d'almenys el novembre del 2022.

BRICKSTORM, escrit en Go, inclou capacitats per a:

• Actua com a servidor web.
• Manipular sistemes de fitxers i directoris.
• Pujar/descarregar fitxers i executar ordres de shell.
• Opera com a proxy SOCKS.
• Comunicar-se amb un servidor de comandament i control (C2) mitjançant WebSockets.

El programari maliciós està dissenyat per evadir la detecció, especialment en dispositius sense cobertura tradicional de detecció i resposta de punts finals (EDR). La seva arquitectura discreta permet que els atacants passin desapercebuts durant una mitjana de 393 dies.

Tècniques avançades per a la furtivitat i la persistència

Els actors amenaçadors utilitzen tècniques altament sofisticades per al moviment lateral i la persistència:

Explotació i accés inicial : almenys un atac va aprofitar les vulnerabilitats dels dispositius perifèrics d'Ivanti Connect Secure per implementar BRICKSTORM. Altres implementacions en dispositius basats en Linux i BSD continuen sent difícils de rastrejar a causa de l'esborrat acurat dels rastres d'activitat per part dels actors.

Desenvolupament àgil de programari maliciós : algunes mostres de BRICKSTORM inclouen un temporitzador de "retard" que ajorna la comunicació amb els servidors C2 durant mesos. En un cas, el programari maliciós es va implementar en un servidor VMware vCenter després que comencés la resposta a incidents, demostrant agilitat operativa.

Escalada de privilegis mitjançant BRICKSTEAL : Es va utilitzar un filtre de servlets Java maliciós a Apache Tomcat per capturar credencials de vCenter. Els atacants van clonar màquines virtuals de Windows Server per a sistemes crítics com ara controladors de domini, proveïdors d'identitat SSO i voltes secretes.

Modificacions en memòria : Mitjançant un dropper personalitzat, els atacants aplicaven els canvis de configuració completament a la memòria, evitant el reinici i la detecció de les aplicacions.

Mètodes de persistència : les modificacions als fitxers init.d, rc.local o systemd, juntament amb el desplegament de shells web JSP com SLAYSTYLE (també conegut com BEEFLUSH), garanteixen que BRICKSTORM es reiniciï automàticament en reiniciar l'aplicació i executi ordres arbitràries del sistema operatiu.

Objectius estratègics i impacte

L'objectiu principal d'aquesta campanya és l'exfiltració de dades dirigida, centrada en correus electrònics i comptes de desenvolupadors, administradors de sistemes i personal involucrat en àrees sensibles alineades amb els interessos econòmics i d'espionatge de la Xina. Utilitzant la capacitat de proxy SOCKS, els atacants poden accedir a aplicacions d'interès i pivotar cap a clients SaaS posteriors o identificar vulnerabilitats de dia zero per a futures campanyes.

La campanya BRICKSTORM representa una amenaça altament sofisticada, capaç d'eludir les defenses empresarials avançades i centrar-se en objectius d'alt valor.