BRICKSTORM Backdoor
Aizdomīga ar Ķīnu saistīta kiberizlūkošanas grupa ir uzbrucusi uzņēmumiem ASV juridisko pakalpojumu, programmatūras kā pakalpojuma (SaaS), biznesa procesu ārpakalpojumu (BPO) un tehnoloģiju nozarēs. Mērķis: izveidot ļoti spējīgu aizmugurējo durvju sistēmu, kas pazīstama kā BRICKSTORM.
Attiecinot uz UNC5221 un cieši saistītiem apdraudējumu klasteriem, šie ielaušanās mēģinājumi ir vērsti uz pastāvīgas piekļuves uzturēšanu upuru tīkliem ilgāk par gadu, bieži vien mērķējot uz SaaS pakalpojumu sniedzējiem, lai piekļūtu klientu vidēm vai viņu vārdā mitinātajiem datiem. Juridiskajā un tehnoloģiju nozarē uzbrukumus, šķiet, motivē intelektuālā īpašuma, ar valsts drošību saistītas izlūkošanas informācijas un starptautiskās tirdzniecības informācijas zādzības.
Satura rādītājs
BRICKSTORM: Aizmugurējās durvis, kas paliek paslēptas
BRICKSTORM, kas pirmo reizi tika novērots pagājušajā gadā, bija saistīts ar Ivanti Connect Secure nulles dienas ievainojamību (CVE-2023-46805 un CVE-2024-21887) izmantošanu. Tas ir aktīvs arī Eiropas Windows vidēs vismaz kopš 2022. gada novembra.
BRICKSTORM, kas rakstīts Go valodā, ietver šādas iespējas:
- Darbojas kā tīmekļa serveris.
- Manipulēt ar failu sistēmām un direktorijiem.
- Augšupielādēt/lejupielādēt failus un izpildīt čaulas komandas.
- Darbojas kā SOCKS starpniekserveris.
- Sazināties ar vadības un vadības (C2) serveri, izmantojot WebSockets.
Ļaunprogrammatūra ir izstrādāta tā, lai to nevarētu atklāt, īpaši ierīcēs bez tradicionālā galapunktu noteikšanas un reaģēšanas (EDR) pārklājuma. Tās slepenā arhitektūra ļauj uzbrucējiem palikt nepamanītiem vidēji 393 dienas.
Uzlabotas metodes slepenībai un neatlaidībai
Draudu izpildītāji izmanto ļoti sarežģītas metodes sānu pārvietošanai un noturībai:
Izmantošana un sākotnējā piekļuve : Vismaz vienā uzbrukumā tika izmantotas Ivanti Connect Secure perifērijas ierīču ievainojamības, lai izvietotu BRICKSTORM. Citas izvietošanas Linux un BSD ierīcēs joprojām ir grūti izsekot, jo dalībnieki rūpīgi dzēš darbību pēdas.
Elastīga ļaunprogrammatūras izstrāde : Daži BRICKSTORM paraugi ietver “aizkaves” taimeri, kas uz vairākiem mēnešiem atliek saziņu ar C2 serveriem. Vienā gadījumā ļaunprogrammatūra tika izvietota VMware vCenter serverī pēc incidenta reaģēšanas sākuma, demonstrējot operacionālo elastību.
Privilēģiju eskalācija, izmantojot BRICKSTEAL : ļaunprātīgs Java Servlet filtrs Apache Tomcat vidē tika izmantots, lai iegūtu vCenter akreditācijas datus. Pēc tam uzbrucēji klonēja Windows Server virtuālās mašīnas kritiskām sistēmām, piemēram, domēnu kontrolleriem, SSO identitātes nodrošinātājiem un slepenajām glabātuvēm.
Atmiņas modifikācijas : Izmantojot pielāgotu nomešanas rīku, uzbrucēji konfigurācijas izmaiņas pilnībā piemēroja atmiņā, izvairoties no lietojumprogrammu restartēšanas un atklāšanas.
Saglabāšanas metodes : modifikācijas init.d, rc.local vai systemd failos, kā arī JSP tīmekļa čaulu, piemēram, SLAYSTYLE (jeb BEEFLUSH), izvietošana nodrošina, ka BRICKSTORM automātiski restartējas, atsāknējot ierīci, un izpilda patvaļīgas OS komandas.
Stratēģiskie mērķi un ietekme
Šīs kampaņas galvenais mērķis ir mērķtiecīga datu izspiešana, koncentrējoties uz izstrādātāju, sistēmu administratoru un personāla e-pastiem un kontiem, kas iesaistīti sensitīvās jomās, kas ir saistītas ar Ķīnas ekonomiskajām un spiegošanas interesēm. Izmantojot SOCKS starpniekservera iespējas, uzbrucēji var iekļūt interesējošās lietojumprogrammās un pārorientēties uz lejupējiem SaaS klientiem vai identificēt nulles dienas ievainojamības turpmākām kampaņām.
BRICKSTORM kampaņa ir ļoti sarežģīts drauds, kas spēj apiet progresīvas uzņēmumu aizsardzības sistēmas un koncentrēties uz augstvērtīgiem mērķiem.
