הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית BRICKSTORM Backdoor

BRICKSTORM Backdoor

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

קבוצת ריגול סייבר, החשודה בשיתוף פעולה עם סין, מכוונת נגד חברות במגזרי השירותים המשפטיים, תוכנה כשירות (SaaS), מיקור חוץ של תהליכים עסקיים (BPO) וטכנולוגיה בארה"ב. המטרה: לספק דלת אחורית בעלת יכולות גבוהות המכונה BRICKSTORM.

פריצות אלו, המיוחסות ל-UNC5221 ולאשכולות איומים קשורים זה לזה, מכוונות לשמור על גישה מתמשכת לרשתות קורבנות במשך למעלה משנה, ולעתים קרובות מכוונות לספקי SaaS כדי להגיע לסביבות לקוחות במורד הזרם או לנתונים המאוחסנים מטעמם. במגזר המשפטי והטכנולוגיה, נראה כי המתקפות מונעות על ידי גניבת קניין רוחני, מודיעין הקשור לביטחון לאומי ומידע הרלוונטי לסחר בינלאומי.

BRICKSTORM: הדלת האחורית שנשארת מוסתרת

BRICKSTORM, שנצפתה לראשונה בשנה שעברה, נקשרה לניצול פגיעויות אפס-יום של Ivanti Connect Secure (CVE-2023-46805 ו-CVE-2024-21887). היא פעילה גם בסביבות Windows אירופאיות מאז נובמבר 2022 לפחות.

BRICKSTORM, שנכתב ב-Go, כולל יכולות ל:

  • לפעול כשרת אינטרנט.
  • מניפולציה של מערכות קבצים וספריות.
  • העלאה/הורדה של קבצים והפעלת פקודות מעטפת.
  • לפעול כפרוקסי של SOCKS.
  • לתקשר עם שרת פיקוד ובקרה (C2) דרך WebSockets.

הנוזקה נועדה להתחמק מגילוי, במיוחד במכשירים ללא כיסוי מסורתי של זיהוי ותגובה לנקודות קצה (EDR). הארכיטקטורה החשאית שלה מאפשרת לתוקפים להישאר בלתי מזוהים במשך ממוצע של 393 ימים.

טכניקות מתקדמות לחמקנות והתמדה

גורמי האיום משתמשים בטכניקות מתוחכמות ביותר לתנועה רוחבית והתמדה:

ניצול וגישה ראשונית : לפחות מתקפה אחת ניצלה פגיעויות במכשירי קצה של Ivanti Connect Secure כדי לפרוס את BRICKSTORM. פריסות אחרות על גבי מכשירי לינוקס ו-BSD נותרו קשות למעקב עקב מחיקת עקבות הפעילות על ידי הגורמים.

פיתוח תוכנות זדוניות זריזות : חלק מדוגמאות BRICKSTORM כוללות טיימר "השהיה" שדוחה את התקשורת עם שרתי C2 למשך חודשים. במקרה אחד, התוכנה הזדונית נפרסה בשרת VMware vCenter לאחר שהחלה תגובה לאירועים, מה שהדגים זריזות תפעולית.

הסלמת הרשאות באמצעות BRICKSTEAL : מסנן Java Servlet זדוני ב-Apache Tomcat שימש ללכידת אישורי vCenter. לאחר מכן, התוקפים שכפלו מכונות וירטואליות של Windows Server עבור מערכות קריטיות כגון בקרי תחום, ספקי זהויות SSO וכספות סודיות.

שינויים בזיכרון : באמצעות שימוש ב-dropper מותאם אישית, התוקפים יישמו שינויי תצורה לחלוטין בזיכרון, תוך הימנעות מהפעלה מחדש של יישומים וזיהוי.

שיטות התמדה : שינויים בקבצי init.d, rc.local או systemd, יחד עם פריסת מעטפות JSP כמו SLAYSTYLE (aka BEEFLUSH), מבטיחים ש-BRICKSTORM יופעל מחדש אוטומטית עם אתחול מחדש של המכשיר ויבצע פקודות שרירותיות של מערכת ההפעלה.

יעדים אסטרטגיים והשפעה

המטרה העיקרית של קמפיין זה היא חילוץ נתונים ממוקד, תוך התמקדות בכתובות דוא"ל וחשבונות של מפתחים, מנהלי מערכות ואנשי צוות המעורבים בתחומים רגישים הקשורים לאינטרסים הכלכליים והריגוליים של סין. באמצעות יכולת ה-proxy של SOCKS, תוקפים יכולים לחדור ליישומים בעלי עניין ולעבור ללקוחות SaaS במורד הזרם או לזהות פגיעויות של יום אפס עבור קמפיינים עתידיים.

קמפיין BRICKSTORM מייצג איום מתוחכם ביותר, המסוגל לעקוף הגנות ארגוניות מתקדמות ולהתמקד במטרות בעלות ערך גבוה.

מגמות

ZestyPeak

תוכנות זדוניות של Mac, תוכנות פרסום, תוכניות שעלולות להיות לא רצויות
חוקרי אבטחת סייבר חשפו אפליקציה בשם ZestyPeak שמציגה התנהגות סוררת. לאחר בדיקה יסודית של יישום זה, מומחים בתחום קבעו כי היא נכללת בקטגוריה של תוכנות נתמכות פרסום, המכונה בדרך כלל תוכנת פרסום....

הכי נצפה

תוכנה זדונית

פישינג, ספאם
34,797
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...