Porta sul retro di BRICKSTORM

Un gruppo di spionaggio informatico sospettato di essere affiliato alla Cina ha preso di mira aziende statunitensi operanti nei settori dei servizi legali, del software-as-a-service (SaaS), del Business Process Outsourcing (BPO) e della tecnologia. L'obiettivo: diffondere una backdoor altamente efficace nota come BRICKSTORM.

Attribuite a UNC5221 e a cluster di minacce strettamente correlati, queste intrusioni mirano a mantenere un accesso persistente alle reti delle vittime per oltre un anno, spesso prendendo di mira i provider SaaS per raggiungere gli ambienti dei clienti a valle o i dati ospitati per loro conto. Nei settori legale e tecnologico, gli attacchi sembrano motivati dal furto di proprietà intellettuale, intelligence relativa alla sicurezza nazionale e informazioni rilevanti per il commercio internazionale.

BRICKSTORM: La porta sul retro che resta nascosta

Osservato per la prima volta lo scorso anno, BRICKSTORM era collegato allo sfruttamento delle vulnerabilità zero-day di Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887). È attivo anche negli ambienti Windows europei almeno da novembre 2022.

BRICKSTORM, scritto in Go, include funzionalità per:

• Agire come un server web.
• Manipolare file system e directory.
• Carica/scarica file ed esegui comandi shell.
• Funziona come proxy SOCKS.
• Comunicare con un server di comando e controllo (C2) tramite WebSocket.

Il malware è progettato per eludere il rilevamento, soprattutto su dispositivi privi di una tradizionale copertura EDR (Endpoint Detection and Response). La sua architettura stealth consente agli aggressori di non essere rilevati per una media di 393 giorni.

Tecniche avanzate per la furtività e la persistenza

Gli autori della minaccia utilizzano tecniche altamente sofisticate per il movimento laterale e la persistenza:

Sfruttamento e accesso iniziale : almeno un attacco ha sfruttato le vulnerabilità dei dispositivi edge Ivanti Connect Secure per implementare BRICKSTORM. Altre implementazioni su dispositivi basati su Linux e BSD rimangono difficili da tracciare a causa dell'attenta cancellazione delle tracce di attività da parte degli autori.

Sviluppo agile di malware : alcuni esempi di BRICKSTORM includono un timer di "ritardo" che posticipa la comunicazione con i server C2 per mesi. In un caso, il malware è stato distribuito su un server VMware vCenter dopo l'inizio della risposta agli incidenti, dimostrando agilità operativa.

Escalation dei privilegi tramite BRICKSTEAL : un filtro Java Servlet dannoso su Apache Tomcat è stato utilizzato per acquisire le credenziali di vCenter. Gli aggressori hanno quindi clonato le VM di Windows Server per sistemi critici come controller di dominio, provider di identità SSO e vault segreti.

Modifiche in memoria : utilizzando un dropper personalizzato, gli aggressori hanno applicato modifiche alla configurazione interamente in memoria, evitando il riavvio e il rilevamento dell'applicazione.

Metodi di persistenza : le modifiche ai file init.d, rc.local o systemd, insieme all'implementazione di web shell JSP come SLAYSTYLE (noto anche come BEEFLUSH), garantiscono il riavvio automatico di BRICKSTORM al riavvio dell'appliance ed eseguono comandi arbitrari del sistema operativo.

Obiettivi strategici e impatto

L'obiettivo principale di questa campagna è l'esfiltrazione mirata di dati, concentrandosi su e-mail e account di sviluppatori, amministratori di sistema e personale coinvolto in aree sensibili legate agli interessi economici e di spionaggio della Cina. Utilizzando la funzionalità proxy SOCKS, gli aggressori possono infiltrarsi nelle applicazioni di interesse e indirizzarsi verso i clienti SaaS a valle o identificare vulnerabilità zero-day per campagne future.

La campagna BRICKSTORM rappresenta una minaccia altamente sofisticata, in grado di eludere le difese aziendali avanzate e di concentrarsi su obiettivi di alto valore.