BRICKSTORM hátsó ajtó
Egy feltehetően Kínával együttműködő kiberkémkedési csoport amerikai jogi szolgáltatások, szoftver-as-a-service (SaaS), üzleti folyamatok kiszervezése (BPO) és technológiai szektorokban működő vállalatokat vett célba. A cél egy BRICKSTORM néven ismert, rendkívül hatékony hátsó ajtó létrehozása.
Az UNC5221-hez és a szorosan kapcsolódó fenyegetéscsoportokhoz köthető behatolások célja az áldozati hálózatokhoz való folyamatos hozzáférés fenntartása több mint egy éven keresztül, gyakran SaaS-szolgáltatókat célozva meg, hogy elérjék a downstream ügyfélkörnyezeteket vagy a nevükben tárolt adatokat. A jogi és technológiai szektorban a támadások indítéka a szellemi tulajdon, a nemzetbiztonsággal kapcsolatos hírszerzési információk és a nemzetközi kereskedelemmel kapcsolatos információk ellopása.
Tartalomjegyzék
BRICKSTORM: A hátsó ajtó, ami rejtve marad
A BRICKSTORM-ot először tavaly figyelték meg, és az Ivanti Connect Secure nulladik napi sebezhetőségeinek (CVE-2023-46805 és CVE-2024-21887) kihasználásához kötötték. Legalább 2022 novembere óta aktív európai Windows környezetekben is.
A Go nyelven írt BRICKSTORM a következő képességeket tartalmazza:
- Webszerverként működjön.
- Fájlrendszerek és könyvtárak manipulálása.
- Fájlok feltöltése/letöltése és shell parancsok végrehajtása.
- SOCKS proxyként működik.
- Kommunikáció egy Command-and-Control (C2) szerverrel WebSockets-en keresztül.
A rosszindulatú programot úgy tervezték, hogy elkerülje az észlelést, különösen a hagyományos végpont-észlelési és -válaszadási (EDR) lefedettség nélküli eszközökön. Lopakodó architektúrájának köszönhetően a támadók átlagosan 393 napig észrevétlenek maradhatnak.
Fejlett technikák a lopakodáshoz és a kitartáshoz
A fenyegető szereplők rendkívül kifinomult technikákat alkalmaznak az oldalirányú mozgás és a kitartás érdekében:
Kihasználás és kezdeti hozzáférés : Legalább egy támadás az Ivanti Connect Secure peremhálózati eszközeinek sebezhetőségeit használta ki a BRICKSTORM telepítéséhez. Más Linux és BSD alapú készülékeken történő telepítéseket továbbra is nehéz nyomon követni a szereplők gondos tevékenységnyom-törlése miatt.
Agilis kártevőfejlesztés : Néhány BRICKSTORM minta tartalmaz egy „késleltetési” időzítőt, amely hónapokra elhalasztja a C2-kiszolgálókkal való kommunikációt. Az egyik esetben a kártevőt egy VMware vCenter-kiszolgálón telepítették az incidensre való reagálás megkezdése után, ami a működési agilitást bizonyítja.
Privilégium eszkaláció BRICKSTEAL-lel : Egy rosszindulatú Java Servlet szűrőt használtak az Apache Tomcat rendszeren a vCenter hitelesítő adatok rögzítéséhez. A támadók ezután Windows Server virtuális gépeket klónoztak olyan kritikus rendszerekhez, mint a tartományvezérlők, az SSO identitásszolgáltatók és a titkos trezorok.
Memórián belüli módosítások : Egyéni dropper használatával a támadók teljes mértékben a memóriában alkalmazták a konfigurációs módosításokat, elkerülve az alkalmazás újraindítását és észlelését.
Perzisztencia módszerek : Az init.d, rc.local vagy systemd fájlok módosításai, valamint a JSP web shell-ek, például a SLAYSTYLE (más néven BEEFLUSH) telepítése biztosítja, hogy a BRICKSTORM automatikusan újrainduljon a készülék újraindításakor, és tetszőleges operációsrendszer-parancsokat hajtson végre.
Stratégiai célok és hatás
A kampány elsődleges célja a célzott adatlopás, amely a fejlesztők, rendszergazdák és a kínai gazdasági és kémkedési érdekekkel összhangban lévő érzékeny területeken dolgozó személyzet e-mailjeire és fiókjaira összpontosít. A SOCKS proxy képességeinek használatával a támadók behatolhatnak az érdeklődésre számot tartó alkalmazásokba, és a SaaS-felhasználókhoz irányíthatják át csatornáikat, vagy azonosíthatják a jövőbeli kampányok nulladik napi sebezhetőségeit.
A BRICKSTORM kampány egy rendkívül kifinomult fenyegetést jelent, amely képes megkerülni a fejlett vállalati védelmet, és a nagy értékű célpontokra összpontosítani.
