BRICKSTORM Bakdør

En mistenkt Kina-alliert cyberspionasjegruppe har rettet seg mot selskaper innen amerikanske juridiske tjenester, programvare som en tjeneste (SaaS), forretningsprosessoutsourcing (BPO) og teknologisektorer. Målet: å levere en svært kapabel bakdør kjent som BRICKSTORM.

Disse inntrengingene, som tilskrives UNC5221 og nært beslektede trusselklynger, har som mål å opprettholde vedvarende tilgang til offernettverk i over et år, ofte rettet mot SaaS-leverandører for å nå nedstrøms kundemiljøer eller data som driftes på deres vegne. Innenfor juridisk og teknologisk sektor ser angrepene ut til å være motivert av tyveri av åndsverk, etterretning knyttet til nasjonal sikkerhet og informasjon relevant for internasjonal handel.

BRICKSTORM: Bakdøren som forblir skjult

BRICKSTORM ble først observert i fjor og ble knyttet til utnyttelsen av Ivanti Connect Secure nulldagssårbarheter (CVE-2023-46805 og CVE-2024-21887). Det har også vært aktivt i europeiske Windows-miljøer siden minst november 2022.

BRICKSTORM, skrevet i Go, inkluderer muligheter til å:

• Fungere som en webserver.
• Manipulere filsystemer og kataloger.
• Last opp/last ned filer og utfør skallkommandoer.
• Funger som en SOCKS-proxy.
• Kommunisere med en kommando-og-kontroll (C2)-server via WebSockets.

Skadevaren er utviklet for å unngå å bli oppdaget, spesielt på apparater uten tradisjonell dekning for endepunktsdeteksjon og -respons (EDR). Den skjulte arkitekturen gjør at angriperne kan forbli uoppdaget i gjennomsnitt 393 dager.

Avanserte teknikker for sniking og utholdenhet

Trusselaktørene bruker svært sofistikerte teknikker for lateral bevegelse og utholdenhet:

Utnyttelse og førstegangs tilgang : Minst ett angrep utnyttet sårbarheter i Ivanti Connect Secure-kantenheter for å distribuere BRICKSTORM. Andre distribusjoner på Linux- og BSD-baserte apparater er fortsatt vanskelige å spore på grunn av aktørenes nøye sletting av aktivitetsspor.

Smidig utvikling av skadevare : Noen BRICKSTORM-eksempler inkluderer en «forsinkelsestimer» som utsetter kommunikasjon med C2-servere i flere måneder. I ett tilfelle ble skadevaren distribuert på en VMware vCenter-server etter at hendelsesresponsen hadde startet, noe som demonstrerte operasjonell smidighet.

Rettighetseskalering via BRICKSTEAL : Et ondsinnet Java Servlet-filter på Apache Tomcat ble brukt til å fange vCenter-legitimasjon. Angriperne klonet deretter virtuelle Windows Server-maskiner for kritiske systemer som domenekontrollere, SSO-identitetsleverandører og hemmelige hvelv.

Modifikasjoner i minnet : Ved å bruke en tilpasset dropper, utførte angriperne konfigurasjonsendringer utelukkende i minnet, og unngikk dermed omstart og deteksjon av applikasjoner.

Persistensmetoder : Endringer i init.d-, rc.local- eller systemd-filer, sammen med utrulling av JSP-webshells som SLAYSTYLE (også kjent som BEEFLUSH), sikrer at BRICKSTORM automatisk starter på nytt ved omstart av enheten og utfører vilkårlige OS-kommandoer.

Strategiske mål og innvirkning

Hovedmålet med denne kampanjen er målrettet datautvinning, med fokus på e-poster og kontoer til utviklere, systemadministratorer og personell involvert i sensitive områder knyttet til Kinas økonomiske og spionasjeinteresser. Ved å bruke SOCKS-proxyfunksjonen kan angripere tunnelere inn i applikasjoner av interesse og konvertere til nedstrøms SaaS-kunder eller identifisere nulldagssårbarheter for fremtidige kampanjer.

BRICKSTORM-kampanjen representerer en svært sofistikert trussel som er i stand til å omgå avansert forsvar i bedrifter og fokusere på mål med høy verdi.