BRICKSTORM Bagdør
En formodet cyberspionagegruppe med tilknytning til Kina har målrettet angrebet virksomheder inden for amerikanske juridiske tjenester, software-as-a-service (SaaS), Business Process Outsourcing (BPO) og teknologisektorer. Målet: at levere en yderst kapabel bagdør kendt som BRICKSTORM.
Disse indtrængen, der tilskrives UNC5221 og nært beslægtede trusselsgrupper, har til formål at opretholde vedvarende adgang til ofrenes netværk i over et år, ofte rettet mod SaaS-udbydere for at nå downstream-kundemiljøer eller data, der hostes på deres vegne. Inden for den juridiske og teknologiske sektor synes angrebene at være motiveret af tyveri af intellektuel ejendom, efterretninger relateret til national sikkerhed og oplysninger relevante for international handel.
Indholdsfortegnelse
BRICKSTORM: Bagdøren, der forbliver skjult
BRICKSTORM, der første gang blev observeret sidste år, blev forbundet med udnyttelsen af Ivanti Connect Secure zero-day-sårbarheder (CVE-2023-46805 og CVE-2024-21887). Det har også været aktivt i europæiske Windows-miljøer siden mindst november 2022.
BRICKSTORM, skrevet i Go, inkluderer funktioner til at:
- Fungerer som en webserver.
- Manipulere filsystemer og mapper.
- Upload/download filer og udfør shell-kommandoer.
- Fungerer som en SOCKS-proxy.
- Kommuniker med en Command-and-Control (C2) server via WebSockets.
Malwaren er designet til at undgå at blive opdaget, især på apparater uden traditionel EDR-dækning (endpoint detection and response). Dens diskrete arkitektur gør det muligt for angriberne at forblive uopdaget i gennemsnit 393 dage.
Avancerede teknikker til stealth og vedholdenhed
Trusselaktørerne anvender yderst sofistikerede teknikker til lateral bevægelse og vedholdenhed:
Udnyttelse og initial adgang : Mindst ét angreb udnyttede sårbarheder i Ivanti Connect Secure-kantenheder til at implementere BRICKSTORM. Andre implementeringer på Linux- og BSD-baserede apparater er fortsat vanskelige at spore på grund af aktørernes omhyggelige sletning af aktivitetsspor.
Agil malwareudvikling : Nogle BRICKSTORM-eksempler inkluderer en "forsinkelsestimer", der udsætter kommunikationen med C2-servere i flere måneder. I ét tilfælde blev malwaren installeret på en VMware vCenter-server, efter at hændelsesresponsen var begyndt, hvilket demonstrerede operationel agilitet.
Privilegieeskalering via BRICKSTEAL : Et ondsindet Java Servlet-filter på Apache Tomcat blev brugt til at indsamle vCenter-legitimationsoplysninger. Angriberne klonede derefter Windows Server VM'er til kritiske systemer såsom domænecontrollere, SSO-identitetsudbydere og hemmelige vaults.
Modifikationer i hukommelsen : Ved at bruge en brugerdefineret dropper kunne angriberne implementere konfigurationsændringer udelukkende i hukommelsen og dermed undgå genstart og detektion af applikationer.
Persistensmetoder : Ændringer af init.d-, rc.local- eller systemd-filer, sammen med implementering af JSP-webshells som SLAYSTYLE (også kendt som BEEFLUSH), sikrer, at BRICKSTORM automatisk genstarter ved genstart af applikationen og udfører vilkårlige OS-kommandoer.
Strategiske mål og effekt
Det primære mål med denne kampagne er målrettet dataudvinding med fokus på e-mails og konti tilhørende udviklere, systemadministratorer og personale involveret i følsomme områder, der er forbundet med Kinas økonomiske og spionagemæssige interesser. Ved hjælp af SOCKS proxy-funktionen kan angribere tunnelere ind i applikationer af interesse og skifte til downstream SaaS-kunder eller identificere zero-day-sårbarheder til fremtidige kampagner.
BRICKSTORM-kampagnen repræsenterer en yderst sofistikeret trussel, der er i stand til at omgå avanceret virksomhedsforsvar og fokusere på mål af høj værdi.
