BRICKSTORM galinės durys
Įtariama, kad su Kinija susijusi kibernetinio šnipinėjimo grupuotė taikėsi į JAV teisinių paslaugų, programinės įrangos kaip paslaugos (SaaS), verslo procesų perdavimo (BPO) ir technologijų sektorių įmones. Tikslas – sukurti itin pajėgią užkardą, vadinamą BRICKSTORM.
Šių įsilaužimų, priskiriamų UNC5221 ir glaudžiai susijusioms grėsmių grupėms, tikslas – išlaikyti nuolatinę prieigą prie aukos tinklų ilgiau nei metus, dažnai taikantis į SaaS teikėjus, kad pasiektų klientų aplinkas arba jų vardu talpinamus duomenis. Teisės ir technologijų sektoriuose atakos, regis, yra motyvuotos intelektinės nuosavybės, su nacionaliniu saugumu susijusios žvalgybos informacijos ir su tarptautine prekyba susijusios informacijos vagyste.
Turinys
BRICKSTORM: Užpakalinės durys, kurios lieka paslėptos
Pirmą kartą pastebėtas praėjusiais metais, BRICKSTORM buvo susietas su „Ivanti Connect Secure“ nulinės dienos pažeidžiamumų (CVE-2023-46805 ir CVE-2024-21887) išnaudojimu. Jis taip pat aktyviai veikia Europos „Windows“ aplinkose mažiausiai nuo 2022 m. lapkričio mėn.
„BRICKSTORM“, parašytas „Go“ kalba, apima šias galimybes:
- Veikti kaip žiniatinklio serveris.
- Manipuliuoti failų sistemomis ir katalogais.
- Įkelti / atsisiųsti failus ir vykdyti apvalkalo komandas.
- Veikti kaip SOCKS tarpinis serveris.
- Bendraukite su komandų ir valdymo (C2) serveriu per „WebSockets“.
Kenkėjiška programa sukurta taip, kad nebūtų aptinkama, ypač įrenginiuose be tradicinės galinių taškų aptikimo ir reagavimo (EDR) aprėpties. Jos slapta architektūra leidžia užpuolikams išlikti nepastebėtiems vidutiniškai 393 dienas.
Pažangūs slaptumo ir atkaklumo metodai
Grėsmės skleidėjai naudoja itin sudėtingus horizontaliojo judėjimo ir atkaklumo metodus:
Išnaudojimas ir pradinė prieiga : Bent vienos atakos metu buvo pasinaudota „Ivanti Connect Secure“ periferinių įrenginių pažeidžiamumais, siekiant įdiegti „BRICKSTORM“. Kitus diegimus „Linux“ ir BSD pagrindu veikiančiuose įrenginiuose sunku atsekti dėl to, kad veikėjai kruopščiai ištrina veiklos pėdsakus.
Lankstus kenkėjiškų programų kūrimas : Kai kuriuose „BRICKSTORM“ pavyzdžiuose yra „delsimo“ laikmatis, kuris mėnesiams atideda ryšį su C2 serveriais. Vienu atveju kenkėjiška programa buvo įdiegta „VMware vCenter“ serveryje jau pradėjus reaguoti į incidentą, o tai rodo operacinį lankstumą.
Privilegijų eskalavimas naudojant BRICKSTEAL : Kenkėjiškas „Java Servlet“ filtras „Apache Tomcat“ sistemoje buvo panaudotas „vCenter“ kredencialams užfiksuoti. Tada užpuolikai klonavo „Windows Server“ virtualias mašinas svarbioms sistemoms, tokioms kaip domeno valdikliai, vienkartinio prisijungimo tapatybės teikėjai ir slaptos saugyklos.
Atmintyje esantys pakeitimai : Naudodami pasirinktinį lašintuvą, užpuolikai konfigūracijos pakeitimus pritaikė tik atmintyje, išvengdami programos paleidimo iš naujo ir aptikimo.
Pastovios sistemos metodai : init.d, rc.local arba systemd failų modifikavimas kartu su JSP žiniatinklio apvalkalų, tokių kaip SLAYSTYLE (dar žinomo kaip BEEFLUSH), diegimu užtikrina, kad BRICKSTORM automatiškai paleidžiamas iš naujo paleidus įrenginį ir vykdo savavališkas OS komandas.
Strateginiai tikslai ir poveikis
Pagrindinis šios kampanijos tikslas – tikslinis duomenų nutekinimas, daugiausia dėmesio skiriant kūrėjų, sistemų administratorių ir personalo, dirbančio jautriose srityse, susijusiose su Kinijos ekonominiais ir šnipinėjimo interesais, el. laiškams ir paskyroms. Naudodamiesi SOCKS tarpinio serverio galimybėmis, užpuolikai gali įsiskverbti į dominančias programas ir nukreipti jas į tolesnius SaaS klientus arba nustatyti nulinės dienos pažeidžiamumus būsimoms kampanijoms.
„BRICKSTORM“ kampanija kelia itin sudėtingą grėsmę, galinčią apeiti pažangias įmonių gynybos sistemas ir sutelkti dėmesį į didelės vertės taikinius.
