BRICKSTORM Pintu Belakang
Kumpulan pengintipan siber yang disyaki sejajar dengan China telah menyasarkan syarikat dalam perkhidmatan undang-undang AS, perisian-sebagai-perkhidmatan (SaaS), Penyumberan Luar Proses Perniagaan (BPO) dan sektor teknologi. Objektif: memberikan pintu belakang berkebolehan tinggi yang dikenali sebagai BRICKSTORM.
Disebabkan oleh UNC5221 dan kelompok ancaman yang berkait rapat, pencerobohan ini bertujuan untuk mengekalkan akses berterusan kepada rangkaian mangsa selama lebih setahun, selalunya menyasarkan penyedia SaaS untuk mencapai persekitaran pelanggan hiliran atau data yang dihoskan bagi pihak mereka. Dalam sektor perundangan dan teknologi, serangan kelihatan bermotifkan kecurian harta intelek, perisikan yang berkaitan dengan keselamatan negara, dan maklumat yang berkaitan dengan perdagangan antarabangsa.
Isi kandungan
BRICKSTORM: Pintu Belakang Yang Tetap Tersembunyi
Pertama kali diperhatikan tahun lepas, BRICKSTORM dikaitkan dengan eksploitasi kerentanan sifar hari Ivanti Connect Secure (CVE-2023-46805 dan CVE-2024-21887). Ia juga telah aktif dalam persekitaran Windows Eropah sejak sekurang-kurangnya November 2022.
BRICKSTORM, ditulis dalam Go, termasuk keupayaan untuk:
- Bertindak sebagai pelayan web.
- Memanipulasi sistem fail dan direktori.
- Muat naik/muat turun fail dan laksanakan arahan shell.
- Beroperasi sebagai proksi SOCKS.
- Berkomunikasi dengan pelayan Command-and-Control (C2) melalui WebSockets.
Perisian hasad direka bentuk untuk mengelakkan pengesanan, terutamanya pada peralatan tanpa liputan pengesanan dan tindak balas titik akhir tradisional (EDR). Seni binanya yang tersembunyi membolehkan penyerang kekal tidak dapat dikesan selama purata 393 hari.
Teknik Lanjutan untuk Siluman dan Kegigihan
Aktor ancaman menggunakan teknik yang sangat canggih untuk pergerakan sisi dan kegigihan:
Eksploitasi dan akses awal : Sekurang-kurangnya satu serangan memanfaatkan kelemahan peranti Ivanti Connect Secure edge untuk menggunakan BRICKSTORM. Penggunaan lain pada peralatan berasaskan Linux dan BSD kekal sukar untuk dikesan disebabkan oleh pemadaman berhati-hati pelakon bagi jejak aktiviti.
Pembangunan perisian hasad tangkas : Beberapa sampel BRICKSTORM termasuk pemasa "kelewatan" yang menangguhkan komunikasi dengan pelayan C2 selama berbulan-bulan. Dalam satu keadaan, perisian hasad telah digunakan pada pelayan VMware vCenter selepas tindak balas insiden dimulakan, menunjukkan ketangkasan operasi.
Peningkatan keistimewaan melalui BRICKSTEAL : Penapis Java Servlet yang berniat jahat pada Apache Tomcat telah digunakan untuk menangkap bukti kelayakan vCenter. Penyerang kemudian mengklon VM Windows Server untuk sistem kritikal seperti Pengawal Domain, pembekal identiti SSO dan peti besi rahsia.
Pengubahsuaian dalam memori : Dengan menggunakan penitis tersuai, penyerang menggunakan perubahan konfigurasi sepenuhnya dalam memori, mengelakkan aplikasi dimulakan semula dan pengesanan.
Kaedah kegigihan : Pengubahsuaian pada fail init.d, rc.local atau systemd, bersama-sama dengan penggunaan cangkerang web JSP seperti SLAYSTYLE (aka BEEFLUSH), pastikan BRICKSTORM dimulakan semula secara automatik pada but semula perkakas dan melaksanakan arahan OS sewenang-wenangnya.
Objektif dan Kesan Strategik
Matlamat utama kempen ini ialah penyingkiran data disasarkan, memfokuskan pada e-mel dan akaun pembangun, pentadbir sistem dan kakitangan yang terlibat dalam kawasan sensitif yang sejajar dengan kepentingan ekonomi dan pengintipan China. Menggunakan keupayaan proksi SOCKS, penyerang boleh terowong ke dalam aplikasi yang diminati dan berputar ke hiliran pelanggan SaaS atau mengenal pasti kelemahan sifar hari untuk kempen akan datang.
Kempen BRICKSTORM mewakili ancaman yang sangat canggih, mampu memintas pertahanan perusahaan termaju dan memfokuskan pada sasaran bernilai tinggi.
