Slevová nabídka pro více licencí
Databáze hrozeb Malware BRICKSTORM Backdoor

BRICKSTORM Backdoor

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Podezřelá skupina pro kybernetickou špionáž napojená na Čínu se zaměřuje na společnosti v amerických sektorech právních služeb, softwaru jako služby (SaaS), outsourcingu obchodních procesů (BPO) a technologií. Cílem je vytvořit vysoce výkonný backdoor známý jako BRICKSTORM.

Tyto útoky, připisované hrozbě UNC5221 a úzce souvisejícím shlukům hrozeb, si kladou za cíl udržet trvalý přístup k sítím obětí po dobu delší než rok, často cílí na poskytovatele SaaS, aby se dostali k prostředím navazujících zákazníků nebo k datům hostovaným jejich jménem. V právním a technologickém sektoru se zdá, že útoky jsou motivovány krádeží duševního vlastnictví, zpravodajských informací týkajících se národní bezpečnosti a informací relevantních pro mezinárodní obchod.

BRICKSTORM: Zadní vrátka, která zůstávají skrytá

BRICKSTORM, poprvé pozorovaný v loňském roce, byl spojován se zneužitím zranitelností nulového dne (CVE-2023-46805 a CVE-2024-21887) v systému Ivanti Connect Secure. V evropských prostředích Windows je také aktivní nejméně od listopadu 2022.

BRICKSTORM, napsaný v jazyce Go, obsahuje funkce pro:

  • Fungovat jako webový server.
  • Manipulovat se souborovými systémy a adresáři.
  • Nahrávání/stahování souborů a spouštění příkazů shellu.
  • Fungovat jako SOCKS proxy.
  • Komunikujte se serverem Command-and-Control (C2) prostřednictvím WebSockets.

Malware je navržen tak, aby se vyhýbal detekci, zejména na zařízeních bez tradičního pokrytí detekcí a odezvou na koncové body (EDR). Jeho nenápadná architektura umožňuje útočníkům zůstat nedetekovatelní po dobu průměrně 393 dnů.

Pokročilé techniky pro nenápadnost a vytrvalost

Aktéři hrozby používají vysoce sofistikované techniky pro laterální pohyb a vytrvalost:

Zneužití a počáteční přístup : Nejméně jeden útok využil zranitelnosti zabezpečených okrajových zařízení Ivanti Connect k nasazení BRICKSTORM. Další nasazení na zařízeních založených na Linuxu a BSD je i nadále obtížné dohledat, protože útočníci pečlivě mažou stopy aktivit.

Agilní vývoj malwaru : Některé vzorky BRICKSTORM obsahují časovač „zpoždění“, který odkládá komunikaci se servery C2 o měsíce. V jednom případě byl malware nasazen na server VMware vCenter po zahájení reakce na incident, což prokazuje provozní agilitu.

Eskalace oprávnění pomocí BRICKSTEAL : K zachycení přihlašovacích údajů vCenter byl použit škodlivý filtr Java Servlet na serveru Apache Tomcat. Útočníci poté naklonovali virtuální počítače Windows Server pro kritické systémy, jako jsou řadiče domény, poskytovatelé identit SSO a tajné trezory.

Úpravy v paměti : Použitím vlastního dropperu útočníci provedli změny konfigurace kompletně v paměti, čímž se vyhnuli restartu a detekci aplikací.

Metody perzistence : Úpravy souborů init.d, rc.local nebo systemd spolu s nasazením webových shellů JSP, jako je SLAYSTYLE (aka BEEFLUSH), zajišťují, že se BRICKSTORM automaticky restartuje po restartu zařízení a provede libovolné příkazy operačního systému.

Strategické cíle a dopad

Primárním cílem této kampaně je cílený únik dat se zaměřením na e-maily a účty vývojářů, systémových administrátorů a personálu zapojeného do citlivých oblastí v souladu s ekonomickými a špionážními zájmy Číny. Pomocí proxy serveru SOCKS se útočníci mohou proniknout do aplikací, které je zajímají, a přesměrovat je na navazující SaaS zákazníky nebo identifikovat zranitelnosti typu zero-day pro budoucí kampaně.

Kampaň BRICKSTORM představuje vysoce sofistikovanou hrozbu, schopnou obejít pokročilou podnikovou obranu a zaměřit se na vysoce hodnotné cíle.

Trendy

Nejvíce shlédnuto

Načítání...