Ponuda s popustom na više licenci
Baza prijetnji Malware BRICKSTORM Stražnja vrata

BRICKSTORM Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Sumnjiva skupina za kibernetičku špijunažu povezana s Kinom ciljala je tvrtke u američkim sektorima pravnih usluga, softvera kao usluge (SaaS), outsourcinga poslovnih procesa (BPO) i tehnologije. Cilj: isporučiti vrlo sposoban backdoor poznat kao BRICKSTORM.

Pripisujući se UNC5221 i blisko povezanim klasterima prijetnji, ovi upadi imaju za cilj održavanje trajnog pristupa mrežama žrtava dulje od godinu dana, često ciljajući SaaS pružatelje usluga kako bi došli do korisničkih okruženja ili podataka koji se nalaze u njihovo ime. U pravnom i tehnološkom sektoru, napadi su motivirani krađom intelektualnog vlasništva, obavještajnih podataka vezanih uz nacionalnu sigurnost i informacija relevantnih za međunarodnu trgovinu.

BRICKSTORM: Stražnja vrata koja ostaju skrivena

BRICKSTORM, prvi put uočen prošle godine, povezan je s iskorištavanjem zero-day ranjivosti Ivanti Connect Securea (CVE-2023-46805 i CVE-2024-21887). Također je aktivan u europskim Windows okruženjima najmanje od studenog 2022.

BRICKSTORM, napisan u Go jeziku, uključuje mogućnosti za:

  • Djelujte kao web poslužitelj.
  • Manipulirati datotečnim sustavima i direktorijima.
  • Prijenos/preuzimanje datoteka i izvršavanje shell naredbi.
  • Radi kao SOCKS proxy.
  • Komunicirajte s Command-and-Control (C2) poslužiteljem putem WebSocketsa.

Zlonamjerni softver dizajniran je kako bi izbjegao otkrivanje, posebno na uređajima bez tradicionalne pokrivenosti detekcijom i odgovorom na krajnje točke (EDR). Njegova prikrivena arhitektura omogućuje napadačima da ostanu neotkriveni u prosjeku 393 dana.

Napredne tehnike za prikrivenost i upornost

Akteri prijetnji koriste vrlo sofisticirane tehnike za lateralno kretanje i upornost:

Iskorištavanje i početni pristup : Najmanje jedan napad iskoristio je ranjivosti Ivanti Connect Secure rubnih uređaja za implementaciju BRICKSTORM-a. Druge implementacije na Linux i BSD uređajima i dalje je teško pratiti zbog pažljivog brisanja tragova aktivnosti od strane aktera.

Agilni razvoj zlonamjernog softvera : Neki BRICKSTORM primjeri uključuju timer "kašnjenja" koji odgađa komunikaciju s C2 poslužiteljima mjesecima. U jednom slučaju, zlonamjerni softver je raspoređen na VMware vCenter poslužitelju nakon što je započeo odgovor na incident, što pokazuje operativnu agilnost.

Eskalacija privilegija putem BRICKSTEAL-a : Zlonamjerni Java Servlet filter na Apache Tomcatu korišten je za hvatanje vCenter vjerodajnica. Napadači su zatim klonirali Windows Server VM-ove za kritične sustave kao što su kontroleri domena, pružatelji SSO identiteta i tajni trezori.

Modifikacije u memoriji : Korištenjem prilagođenog alata za umetanje, napadači su u potpunosti primijenili promjene konfiguracije u memoriji, izbjegavajući ponovna pokretanja i otkrivanje aplikacija.

Metode perzistencije : Izmjene datoteka init.d, rc.local ili systemd, zajedno s implementacijom JSP web ljuski poput SLAYSTYLE (poznatog i kao BEEFLUSH), osiguravaju automatsko ponovno pokretanje BRICKSTORM-a nakon ponovnog pokretanja uređaja i izvršavanje proizvoljnih naredbi OS-a.

Strateški ciljevi i utjecaj

Primarni cilj ove kampanje je ciljano izvlačenje podataka, s fokusom na e-poštu i račune programera, administratora sustava i osoblja uključenog u osjetljiva područja usklađena s kineskim ekonomskim i špijunskim interesima. Koristeći SOCKS proxy mogućnosti, napadači mogu prodrijeti u aplikacije od interesa i preusmjeriti se na SaaS korisnike nizvodno ili identificirati zero-day ranjivosti za buduće kampanje.

Kampanja BRICKSTORM predstavlja vrlo sofisticiranu prijetnju, sposobnu zaobići napredne obrane poduzeća i usredotočiti se na visokovrijedne ciljeve.

U trendu

Nagledanije

Učitavam...