قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار درِ پشتیِ BRICKSTORM

درِ پشتیِ BRICKSTORM

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

یک گروه جاسوسی سایبری که مظنون به ارتباط با چین است، شرکت‌هایی را در بخش‌های خدمات حقوقی، نرم‌افزار به عنوان سرویس (SaaS)، برون‌سپاری فرآیندهای تجاری (BPO) و فناوری ایالات متحده هدف قرار داده است. هدف: ارائه یک در پشتی بسیار توانمند به نام BRICKSTORM.

این حملات که به UNC5221 و خوشه‌های تهدید نزدیک به آن نسبت داده می‌شوند، با هدف حفظ دسترسی مداوم به شبکه‌های قربانی برای بیش از یک سال انجام می‌شوند و اغلب ارائه‌دهندگان SaaS را هدف قرار می‌دهند تا به محیط‌های مشتری پایین‌دست یا داده‌های میزبانی‌شده از طرف آنها دسترسی پیدا کنند. در بخش‌های حقوقی و فناوری، به نظر می‌رسد انگیزه این حملات سرقت مالکیت معنوی، اطلاعات مربوط به امنیت ملی و اطلاعات مربوط به تجارت بین‌المللی باشد.

BRICKSTORM: در پشتی که پنهان می‌ماند

اولین بار سال گذشته مشاهده شد که BRICKSTORM به بهره‌برداری از آسیب‌پذیری‌های روز صفر Ivanti Connect Secure (CVE-2023-46805 و CVE-2024-21887) مرتبط بود. همچنین از نوامبر 2022 در محیط‌های ویندوز اروپایی فعال بوده است.

BRICKSTORM که با زبان Go نوشته شده است، شامل قابلیت‌های زیر است:

  • به عنوان یک وب سرور عمل کنید.
  • دستکاری فایل‌های سیستمی و دایرکتوری‌ها.
  • آپلود/دانلود فایل‌ها و اجرای دستورات پوسته.
  • به عنوان یک پروکسی SOCKS عمل می‌کند.
  • از طریق WebSockets با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار کنید.

این بدافزار به گونه‌ای طراحی شده است که از شناسایی شدن، به ویژه در دستگاه‌هایی که پوشش سنتی تشخیص و پاسخ‌دهی نقطه پایانی (EDR) ندارند، جلوگیری کند. معماری مخفی آن به مهاجمان این امکان را می‌دهد که به طور متوسط ۳۹۳ روز ناشناس باقی بمانند.

تکنیک‌های پیشرفته برای پنهان‌کاری و پایداری

عوامل تهدید از تکنیک‌های بسیار پیچیده‌ای برای حرکت جانبی و ماندگاری استفاده می‌کنند:

بهره‌برداری و دسترسی اولیه : حداقل یک حمله از آسیب‌پذیری‌های دستگاه لبه امن Ivanti Connect برای استقرار BRICKSTORM استفاده کرد. ردیابی سایر استقرارها در لینوکس و دستگاه‌های مبتنی بر BSD به دلیل پاک کردن دقیق ردپاهای فعالیت توسط مهاجمان، همچنان دشوار است.

توسعه سریع بدافزار : برخی از نمونه‌های BRICKSTORM شامل یک تایمر «تأخیر» هستند که ارتباط با سرورهای C2 را برای ماه‌ها به تعویق می‌اندازد. در یک مورد، بدافزار پس از شروع پاسخ به حادثه، روی یک سرور VMware vCenter مستقر شد که نشان‌دهنده چابکی عملیاتی است.

افزایش امتیاز از طریق BRICKSTEAL : یک فیلتر مخرب Java Servlet در Apache Tomcat برای ضبط اعتبارنامه‌های vCenter استفاده شد. سپس مهاجمان ماشین‌های مجازی ویندوز سرور را برای سیستم‌های حیاتی مانند کنترل‌کننده‌های دامنه، ارائه‌دهندگان هویت SSO و خزانه‌های مخفی شبیه‌سازی کردند.

تغییرات درون حافظه : مهاجمان با استفاده از یک دراپر سفارشی، تغییرات پیکربندی را به‌طور کامل در حافظه اعمال می‌کردند و از راه‌اندازی مجدد برنامه و شناسایی شدن جلوگیری می‌کردند.

روش‌های ماندگاری : تغییرات در فایل‌های init.d، rc.local یا systemd، همراه با استقرار پوسته‌های وب JSP مانند SLAYSTYLE (معروف به BEEFLUSH)، تضمین می‌کنند که BRICKSTORM به طور خودکار پس از راه‌اندازی مجدد دستگاه، مجدداً راه‌اندازی شده و دستورات دلخواه سیستم‌عامل را اجرا کند.

اهداف استراتژیک و تأثیر

هدف اصلی این کمپین، استخراج هدفمند داده‌ها با تمرکز بر ایمیل‌ها و حساب‌های توسعه‌دهندگان، مدیران سیستم و پرسنل درگیر در حوزه‌های حساس همسو با منافع اقتصادی و جاسوسی چین است. با استفاده از قابلیت پروکسی SOCKS، مهاجمان می‌توانند به برنامه‌های مورد نظر نفوذ کرده و به سمت مشتریان SaaS پایین‌دست حرکت کنند یا آسیب‌پذیری‌های روز صفر را برای کمپین‌های آینده شناسایی کنند.

کمپین BRICKSTORM یک تهدید بسیار پیچیده است که قادر به عبور از دفاع‌های پیشرفته سازمانی و تمرکز بر اهداف با ارزش بالا می‌باشد.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
34,797
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...