BRICKSTORM tagauks
Arvatakse, et Hiinaga seotud küberspionaažirühmitus on sihikule võtnud USA õigusteenuste, tarkvarateenuse (SaaS), äriprotsesside allhanke (BPO) ja tehnoloogiasektori ettevõtteid. Eesmärk: pakkuda välja ülivõimas tagauks, mida tuntakse BRICKSTORM-ina.
Need UNC5221 ja sellega tihedalt seotud ohuklastritega seotud sissetungid on suunatud püsiva juurdepääsu säilitamisele ohvrivõrkudele üle aasta, sageli sihtides SaaS-teenuse pakkujaid, et jõuda allavoolu kliendikeskkondadesse või nende nimel majutatud andmetesse. Õigus- ja tehnoloogiasektoris näib rünnakute motiiviks olevat intellektuaalomandi, riikliku julgeolekuga seotud luureandmete ja rahvusvahelise kaubandusega seotud teabe vargus.
Sisukord
BRICKSTORM: Tagauks, mis jääb varjatuks
BRICKSTORM-i, mida esmakordselt täheldati eelmisel aastal, seostati Ivanti Connect Secure'i nullpäeva haavatavuste (CVE-2023-46805 ja CVE-2024-21887) ärakasutamisega. See on olnud aktiivne ka Euroopa Windowsi keskkondades vähemalt alates 2022. aasta novembrist.
Go keeles kirjutatud BRICKSTORM sisaldab järgmisi võimalusi:
- Tegutse veebiserverina.
- Manipuleerida failisüsteeme ja katalooge.
- Laadi üles/alla faile ja käivita shellikäsklusi.
- Tegutseb SOCKS-i puhverserverina.
- Suhelda Command-and-Control (C2) serveriga WebSocketsi kaudu.
Pahavara on loodud avastamisest kõrvale hiilima, eriti seadmetes, millel puudub traditsiooniline lõpp-punkti tuvastamise ja reageerimise (EDR) katvus. Selle varjatud arhitektuur võimaldab ründajatel jääda avastamata keskmiselt 393 päeva.
Täiustatud tehnikad varjatuse ja püsivuse jaoks
Ohu tekitajad kasutavad külgliikumise ja püsivuse tagamiseks ülimalt keerukaid tehnikaid:
Ärakasutamine ja esialgne juurdepääs : Vähemalt üks rünnak kasutas ära Ivanti Connect Secure'i servaseadmete haavatavusi BRICKSTORMi juurutamiseks. Teisi Linuxi ja BSD-põhiste seadmete juurutusi on endiselt raske jälgida, kuna osalised kustutavad tegevuse jälgi hoolikalt.
Paindlik pahavara arendus : Mõned BRICKSTORM-i näidised sisaldavad viivituse taimerit, mis lükkab suhtlust C2-serveritega kuudeks edasi. Ühel juhul juurutati pahavara VMware vCenteri serverisse pärast intsidendile reageerimise algust, mis näitab operatiivset paindlikkust.
Privileegide eskaleerimine BRICKSTEALi kaudu : Apache Tomcati pahatahtlikku Java Servlet-filtrit kasutati vCenteri mandaatide jäädvustamiseks. Seejärel kloonisid ründajad Windows Serveri virtuaalmasinaid kriitiliste süsteemide, näiteks domeenikontrollerite, SSO identiteedipakkujate ja salajaste hoidlate jaoks.
Mälusisesed muudatused : Kohandatud dropperi abil rakendasid ründajad konfiguratsioonimuudatusi täielikult mälus, vältides rakenduse taaskäivitamist ja tuvastamist.
Püsivusmeetodid : init.d, rc.local või systemd failide muutmine koos JSP veebikestade, näiteks SLAYSTYLE'i (tuntud ka kui BEEFLUSH), juurutamisega tagatakse, et BRICKSTORM taaskäivitub seadme taaskäivitamisel automaatselt ja täidab suvalisi operatsioonisüsteemi käske.
Strateegilised eesmärgid ja mõju
Selle kampaania peamine eesmärk on sihipärane andmete väljavool, keskendudes arendajate, süsteemiadministraatorite ja Hiina majanduslike ja spionaažihuvidega seotud tundlike valdkondadega tegelevate töötajate e-kirjadele ja kontodele. SOCKS-i puhverserveri võimaluste abil saavad ründajad tungida huvipakkuvate rakendusteni ja pöörduda SaaS-i allavoolu klientide poole või tuvastada nullpäeva haavatavusi tulevaste kampaaniate jaoks.
BRICKSTORM kampaania kujutab endast väga keerukat ohtu, mis suudab mööda minna täiustatud ettevõtte kaitsemehhanismidest ja keskenduda väärtuslikele sihtmärkidele.
