BRICKSTORM Backdoor

ក្រុមចារកម្មតាមអ៊ីនធឺណេតដែលជាប់ពាក់ព័ន្ធជាមួយប្រទេសចិនដែលជាប់សង្ស័យបាននិងកំពុងកំណត់គោលដៅក្រុមហ៊ុននៅក្នុងសេវាកម្មច្បាប់របស់សហរដ្ឋអាមេរិក សេវាកម្មផ្នែកទន់ (SaaS) ដំណើរការអាជីវកម្មខាងក្រៅ (BPO) និងវិស័យបច្ចេកវិទ្យា។ គោលបំណង៖ ផ្តល់នូវ backdoor ដែលមានសមត្ថភាពខ្ពស់ដែលគេស្គាល់ថា BRICKSTORM ។

ដោយសន្មតថាជា UNC5221 និងក្រុមគំរាមកំហែងដែលទាក់ទងយ៉ាងជិតស្និទ្ធ ការឈ្លានពានទាំងនេះមានគោលបំណងរក្សាការចូលប្រើប្រាស់ជាបន្តបន្ទាប់ទៅកាន់បណ្តាញជនរងគ្រោះអស់រយៈពេលជាងមួយឆ្នាំ ដែលជារឿយៗកំណត់គោលដៅអ្នកផ្តល់សេវា SaaS ដើម្បីទៅដល់បរិស្ថានអតិថិជនខាងក្រោម ឬទិន្នន័យដែលបានបង្ហោះក្នុងនាមពួកគេ។ នៅក្នុងផ្នែកច្បាប់ និងបច្ចេកវិទ្យា ការវាយប្រហារលេចឡើងដោយការលួចកម្មសិទ្ធិបញ្ញា ការស៊ើបការណ៍ទាក់ទងនឹងសន្តិសុខជាតិ និងព័ត៌មានពាក់ព័ន្ធនឹងពាណិជ្ជកម្មអន្តរជាតិ។

BRICKSTORM៖ ទ្វារខាងក្រោយដែលលាក់ទុក

ត្រូវបានគេសង្កេតឃើញជាលើកដំបូងកាលពីឆ្នាំមុន BRICKSTORM ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះរបស់ Ivanti Connect Secure zero-day vulnerabilities (CVE-2023-46805 និង CVE-2024-21887) ។ វាក៏មានសកម្មភាពនៅក្នុងបរិស្ថាន Windows របស់អ៊ឺរ៉ុបចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ 2022 មកម្ល៉េះ។

BRICKSTORM ដែលសរសេរក្នុង Go រួមមានសមត្ថភាពដើម្បី៖

• ដើរតួជាម៉ាស៊ីនមេគេហទំព័រ។
• រៀបចំប្រព័ន្ធឯកសារ និងថតឯកសារ។
• ផ្ទុកឡើង/ទាញយកឯកសារ និងប្រតិបត្តិពាក្យបញ្ជាសែល។
• ដំណើរការជាប្រូកស៊ី SOCKS ។
• ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) តាមរយៈ WebSockets ។

មេរោគនេះត្រូវបានរចនាឡើងដើម្បីគេចពីការរាវរក ជាពិសេសនៅលើឧបករណ៍ដែលមិនមានការការពារ និងការឆ្លើយតបតាមបែបប្រពៃណី (EDR)។ ស្ថាបត្យកម្មបំបាំងកាយរបស់វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារនៅតែមិនអាចរកឃើញក្នុងរយៈពេលជាមធ្យម 393 ថ្ងៃ។

បច្ចេកទេសកម្រិតខ្ពស់សម្រាប់ការបំបាំងកាយ និងការតស៊ូ

តួអង្គគំរាមកំហែងប្រើបច្ចេកទេសស្មុគ្រស្មាញខ្ពស់សម្រាប់ចលនានៅពេលក្រោយ និងការតស៊ូ៖

ការកេងប្រវ័ញ្ច និងការចូលប្រើដំបូង ៖ យ៉ាងហោចណាស់ការវាយប្រហារមួយបានប្រើឥទ្ធិពលលើភាពងាយរងគ្រោះរបស់ឧបករណ៍ Ivanti Connect Secure edge ដើម្បីដាក់ពង្រាយ BRICKSTORM ។ ការដាក់ពង្រាយផ្សេងទៀតនៅលើឧបករណ៍ប្រើប្រាស់លីនុច និង BSD នៅតែពិបាកក្នុងការតាមដាន ដោយសារការលុបដានសកម្មភាពដោយប្រុងប្រយ័ត្នរបស់តួអង្គ។

ការអភិវឌ្ឍន៍មេរោគ Agile ៖ គំរូ BRICKSTORM មួយចំនួនរួមមានកម្មវិធីកំណត់ម៉ោង "ពន្យារពេល" ដែលពន្យារពេលទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ជាច្រើនខែ។ ក្នុងឧទាហរណ៍មួយ មេរោគនេះត្រូវបានដាក់ពង្រាយនៅលើម៉ាស៊ីនមេ VMware vCenter បន្ទាប់ពីការឆ្លើយតបឧប្បត្តិហេតុបានចាប់ផ្តើម ដោយបង្ហាញពីភាពរហ័សរហួននៃប្រតិបត្តិការ។

ការបង្កើនសិទ្ធិតាមរយៈ BRICKSTEAL ៖ តម្រង Java Servlet ដ៏អាក្រក់នៅលើ Apache Tomcat ត្រូវបានប្រើដើម្បីចាប់យកព័ត៌មានសម្ងាត់ vCenter ។ បន្ទាប់មកអ្នកវាយប្រហារបានក្លូន Windows Server VMs សម្រាប់ប្រព័ន្ធសំខាន់ៗដូចជា Domain Controllers អ្នកផ្តល់អត្តសញ្ញាណ SSO និងបន្ទប់សម្ងាត់។

ការកែប្រែក្នុងអង្គចងចាំ ៖ ដោយប្រើឧបករណ៍ទម្លាក់ចុះផ្ទាល់ខ្លួន អ្នកវាយប្រហារបានអនុវត្តការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធទាំងស្រុងនៅក្នុងអង្គចងចាំ ដោយជៀសវាងការចាប់ផ្ដើមកម្មវិធីឡើងវិញ និងការរកឃើញ។

វិធីសាស្ត្របន្ត ៖ ការកែប្រែទៅ init.d, rc.local, ឬ systemd files រួមជាមួយនឹងការដាក់ពង្រាយបណ្តាញ JSP ដូចជា SLAYSTYLE (aka BEEFLUSH) ធានាថា BRICKSTORM ចាប់ផ្តើមឡើងវិញដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើមឧបករណ៍ឡើងវិញ ហើយប្រតិបត្តិពាក្យបញ្ជា OS តាមអំពើចិត្ត។

គោលដៅយុទ្ធសាស្ត្រ និងផលប៉ះពាល់

គោលដៅចម្បងនៃយុទ្ធនាការនេះគឺផ្តោតទៅលើការជំរិតទិន្នន័យ ដោយផ្តោតលើអ៊ីមែល និងគណនីរបស់អ្នកអភិវឌ្ឍន៍ អ្នកគ្រប់គ្រងប្រព័ន្ធ និងបុគ្គលិកដែលពាក់ព័ន្ធនឹងផ្នែករសើបដែលស្របតាមផលប្រយោជន៍សេដ្ឋកិច្ច និងចារកម្មរបស់ប្រទេសចិន។ ដោយប្រើសមត្ថភាពប្រូកស៊ី SOCKS អ្នកវាយប្រហារអាចចូលទៅក្នុងកម្មវិធីដែលចាប់អារម្មណ៍ និងជំនួយទៅកាន់អតិថិជន SaaS ខាងក្រោម ឬកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះសូន្យថ្ងៃសម្រាប់យុទ្ធនាការនាពេលអនាគត។

យុទ្ធនាការ BRICKSTORM តំណាងឱ្យការគំរាមកំហែងដ៏ស្មុគ្រស្មាញខ្ពស់ ដែលមានសមត្ថភាពឆ្លងកាត់ការការពារសហគ្រាសកម្រិតខ្ពស់ និងផ្តោតលើគោលដៅដែលមានតម្លៃខ្ពស់។