BRICKSTORM Backdoor

중국과 연계된 것으로 의심되는 사이버 스파이 집단이 미국 법률 서비스, SaaS(Software as a Service), 비즈니스 프로세스 아웃소싱(BPO), 그리고 기술 분야 기업들을 표적으로 삼아 왔습니다. 이들의 목표는 브릭스톰(BRICKSTORM)으로 알려진 고도로 강력한 백도어를 유포하는 것입니다.

UNC5221 및 밀접하게 연관된 위협 클러스터에 기인하는 이러한 침입은 피해자 네트워크에 1년 이상 지속적으로 접근하는 것을 목표로 하며, 종종 SaaS 제공업체를 표적으로 삼아 다운스트림 고객 환경이나 SaaS 제공업체를 대신하여 호스팅되는 데이터에 접근합니다. 법률 및 기술 분야에서는 지적 재산권, 국가 안보 관련 정보, 그리고 국제 무역 관련 정보 유출을 목표로 하는 것으로 보입니다.

브릭스톰: 숨겨진 뒷문

작년에 처음 발견된 BRICKSTORM은 Ivanti Connect Secure 제로데이 취약점(CVE-2023-46805 및 CVE-2024-21887)을 악용하는 것으로 나타났습니다. 또한 최소 2022년 11월부터 유럽 Windows 환경에서 활동해 왔습니다.

Go로 작성된 BRICKSTORM에는 다음과 같은 기능이 포함되어 있습니다.

• 웹 서버 역할을 합니다.
• 파일 시스템과 디렉토리를 조작합니다.
• 파일을 업로드/다운로드하고 셸 명령을 실행합니다.
• SOCKS 프록시로 작동합니다.
• WebSocket을 통해 C2(명령 및 제어) 서버와 통신합니다.

이 악성코드는 탐지를 피하도록 설계되었으며, 특히 기존의 엔드포인트 탐지 및 대응(EDR) 시스템이 없는 기기에서는 더욱 그렇습니다. 은밀한 아키텍처 덕분에 공격자는 평균 393일 동안 탐지되지 않을 수 있습니다.

은밀성과 지속성을 위한 고급 기술

위협 행위자는 측면 이동과 지속성을 위해 매우 정교한 기술을 사용합니다.

악용 및 초기 접근 : 최소 한 건의 공격에서 Ivanti Connect Secure 엣지 기기의 취약점을 악용하여 BRICKSTORM을 배포했습니다. Linux 및 BSD 기반 어플라이언스에 배포된 다른 공격은 공격자가 활동 흔적을 신중하게 삭제했기 때문에 추적이 여전히 어렵습니다.

민첩한 악성코드 개발 : 일부 BRICKSTORM 샘플에는 C2 서버와의 통신을 수개월 동안 지연시키는 "지연" 타이머가 포함되어 있습니다. 한 사례에서는 사고 대응이 시작된 후 VMware vCenter 서버에 악성코드가 배포되어 운영 민첩성을 입증했습니다.

BRICKSTEAL을 통한 권한 상승 : Apache Tomcat의 악성 Java 서블릿 필터를 사용하여 vCenter 자격 증명을 탈취했습니다. 그런 다음 공격자는 도메인 컨트롤러, SSO ID 공급자, 비밀 저장소와 같은 중요 시스템에 Windows Server VM을 복제했습니다.

메모리 내 수정 : 사용자 정의 드로퍼를 사용하여 공격자는 구성 변경 사항을 메모리에 전부 적용하여 애플리케이션 재시작 및 감지를 피했습니다.

지속성 방법 : init.d, rc.local 또는 systemd 파일을 수정하고 SLAYSTYLE(일명 BEEFLUSH)과 같은 JSP 웹 셸을 배포하면 BRICKSTORM이 어플라이언스 재부팅 시 자동으로 다시 시작되고 임의의 OS 명령을 실행합니다.

전략적 목표 및 영향

이 캠페인의 주요 목표는 중국의 경제 및 첩보 활동과 관련된 민감한 분야에 종사하는 개발자, 시스템 관리자, 그리고 관련자들의 이메일과 계정에 집중하여 데이터를 탈취하는 것입니다. 공격자는 SOCKS 프록시 기능을 사용하여 관심 있는 애플리케이션에 터널링하여 다운스트림 SaaS 고객으로 이동하거나 향후 캠페인을 위해 제로데이 취약점을 파악할 수 있습니다.

BRICKSTORM 캠페인은 고도로 정교한 위협으로, 첨단 기업 방어 시스템을 우회하고 가치가 높은 타겟에 집중할 수 있습니다.