Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό BRICKSTORM Κερκόπορτα

BRICKSTORM Κερκόπορτα

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Μια ύποπτη ομάδα κυβερνοκατασκοπείας που συνδέεται με την Κίνα έχει στοχεύσει εταιρείες στους τομείς των νομικών υπηρεσιών, του λογισμικού ως υπηρεσίας (SaaS), της εξωτερικής ανάθεσης επιχειρηματικών διαδικασιών (BPO) και της τεχνολογίας στις ΗΠΑ. Στόχος: η δημιουργία ενός εξαιρετικά ικανού backdoor, γνωστού ως BRICKSTORM.

Αποδιδόμενες στο UNC5221 και σε στενά συνδεδεμένες ομάδες απειλών, αυτές οι εισβολές στοχεύουν στη διατήρηση μόνιμης πρόσβασης στα δίκτυα των θυμάτων για πάνω από ένα χρόνο, στοχεύοντας συχνά παρόχους SaaS για να φτάσουν σε περιβάλλοντα πελατών ή σε δεδομένα που φιλοξενούνται για λογαριασμό τους. Στον νομικό και τεχνολογικό τομέα, οι επιθέσεις φαίνεται να υποκινούνται από την κλοπή πνευματικής ιδιοκτησίας, πληροφοριών που σχετίζονται με την εθνική ασφάλεια και πληροφοριών που σχετίζονται με το διεθνές εμπόριο.

BRICKSTORM: Η Κερκόπορτα που Μένει Κρυφή

Το BRICKSTORM, που παρατηρήθηκε για πρώτη φορά πέρυσι, συνδέθηκε με την εκμετάλλευση των ευπαθειών zero-day του Ivanti Connect Secure (CVE-2023-46805 και CVE-2024-21887). Είναι επίσης ενεργό σε ευρωπαϊκά περιβάλλοντα Windows τουλάχιστον από τον Νοέμβριο του 2022.

Το BRICKSTORM, γραμμένο σε Go, περιλαμβάνει δυνατότητες για:

  • Λειτουργήστε ως διακομιστής ιστού.
  • Χειρισμός συστημάτων αρχείων και καταλόγων.
  • Μεταφόρτωση/λήψη αρχείων και εκτέλεση εντολών shell.
  • Λειτουργήστε ως διακομιστής μεσολάβησης SOCKS.
  • Επικοινωνία με έναν διακομιστή Command-and-Control (C2) μέσω WebSockets.

Το κακόβουλο λογισμικό έχει σχεδιαστεί για να αποφεύγει την ανίχνευση, ειδικά σε συσκευές χωρίς παραδοσιακή κάλυψη ανίχνευσης και απόκρισης τελικού σημείου (EDR). Η αθόρυβη αρχιτεκτονική του επιτρέπει στους εισβολείς να παραμένουν απαρατήρητοι για κατά μέσο όρο 393 ημέρες.

Προηγμένες Τεχνικές για Αθόρυβη Λειτουργία και Επιμονή

Οι απειλητικοί παράγοντες χρησιμοποιούν εξαιρετικά εξελιγμένες τεχνικές για πλευρική κίνηση και επιμονή:

Εκμετάλλευση και αρχική πρόσβαση : Τουλάχιστον μία επίθεση αξιοποίησε τα τρωτά σημεία των συσκευών Ivanti Connect Secure για την ανάπτυξη του BRICKSTORM. Άλλες αναπτύξεις σε συσκευές Linux και BSD παραμένουν δύσκολο να εντοπιστούν λόγω της προσεκτικής διαγραφής των ιχνών δραστηριότητας από τους δράστες.

Ανάπτυξη ευέλικτου κακόβουλου λογισμικού : Ορισμένα δείγματα BRICKSTORM περιλαμβάνουν ένα χρονόμετρο «καθυστέρησης» που αναβάλλει την επικοινωνία με τους διακομιστές C2 για μήνες. Σε μία περίπτωση, το κακόβουλο λογισμικό αναπτύχθηκε σε έναν διακομιστή VMware vCenter μετά την έναρξη της απόκρισης σε περιστατικά, επιδεικνύοντας επιχειρησιακή ευελιξία.

Κλιμάκωση δικαιωμάτων μέσω BRICKSTEAL : Ένα κακόβουλο φίλτρο Java Servlet στο Apache Tomcat χρησιμοποιήθηκε για την καταγραφή διαπιστευτηρίων vCenter. Στη συνέχεια, οι εισβολείς κλωνοποίησαν εικονικές μηχανές Windows Server για κρίσιμα συστήματα, όπως ελεγκτές τομέα, παρόχους ταυτότητας SSO και μυστικά θησαυροφυλάκια.

Τροποποιήσεις στη μνήμη : Χρησιμοποιώντας ένα προσαρμοσμένο dropper, οι εισβολείς εφάρμοσαν τις αλλαγές διαμόρφωσης εξ ολοκλήρου στη μνήμη, αποφεύγοντας την επανεκκίνηση και την ανίχνευση των εφαρμογών.

Μέθοδοι διατήρησης : Οι τροποποιήσεις στα αρχεία init.d, rc.local ή systemd, μαζί με την ανάπτυξη κελυφών web JSP όπως το SLAYSTYLE (γνωστό και ως BEEFLUSH), διασφαλίζουν ότι το BRICKSTORM επανεκκινείται αυτόματα κατά την επανεκκίνηση της συσκευής και εκτελεί αυθαίρετες εντολές του λειτουργικού συστήματος.

Στρατηγικοί Στόχοι και Αντίκτυπος

Ο πρωταρχικός στόχος αυτής της εκστρατείας είναι η στοχευμένη εξαγωγή δεδομένων, εστιάζοντας σε email και λογαριασμούς προγραμματιστών, διαχειριστών συστημάτων και προσωπικού που εμπλέκεται σε ευαίσθητους τομείς που ευθυγραμμίζονται με τα οικονομικά και κατασκοπευτικά συμφέροντα της Κίνας. Χρησιμοποιώντας τη δυνατότητα proxy SOCKS, οι εισβολείς μπορούν να εισέλθουν σε εφαρμογές ενδιαφέροντος και να στραφούν σε πελάτες SaaS που βρίσκονται σε εξέλιξη ή να εντοπίσουν τρωτά σημεία zero-day για μελλοντικές εκστρατείες.

Η καμπάνια BRICKSTORM αντιπροσωπεύει μια εξαιρετικά εξελιγμένη απειλή, ικανή να παρακάμψει τις προηγμένες άμυνες των επιχειρήσεων και να επικεντρωθεί σε στόχους υψηλής αξίας.

Τάσεις

ZestyPeak

Κακόβουλο λογισμικό Mac, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια εφαρμογή που ονομάζεται ZestyPeak που εμφανίζει αδίστακτη συμπεριφορά. Μετά από διεξοδική εξέταση αυτής της εφαρμογής, οι ειδικοί στον τομέα...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,797
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...